Források Végponthoz készült Microsoft Defender macOS rendszeren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Diagnosztikai adatok gyűjtése
Ha reprodukálni tud egy problémát, növelje a naplózási szintet, futtassa a rendszert egy ideig, és állítsa vissza a naplózási szintet az alapértelmezettre.
Naplózási szint növelése:
mdatp log level set --level debugLog level configured successfullyReprodukálja a problémát
Futtassa a parancsot
sudo mdatp diagnostic createa Végponthoz készült Microsoft Defender naplók biztonsági mentéséhez. A fájlok egy .zip archívumban lesznek tárolva. Ez a parancs a művelet sikeres végrehajtása után a biztonsági mentés fájlelérési útját is kinyomtatja.Tipp
Alapértelmezés szerint a diagnosztikai naplókat a rendszer a következőbe
/Library/Application Support/Microsoft/Defender/wdavdiag/menti: . A diagnosztikai naplók mentési könyvtárának módosításához adja át--path [directory]az alábbi parancsot, és cserélje le a elemet[directory]a kívánt könyvtárra.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Naplózási szint visszaállítása:
mdatp log level set --level infoLog level configured successfully
Naplózás telepítésével kapcsolatos problémák
Ha a telepítés során hiba történik, a telepítő csak általános hibát jelez.
A részletes naplót a rendszer a következőbe menti: /Library/Logs/Microsoft/mdatp/install.log. Ha a telepítés során problémákat tapasztal, küldje el nekünk ezt a fájlt, hogy segíthessünk az ok diagnosztizálásában.
A telepítéssel kapcsolatos további hibák elhárításához tekintse meg a macOS-en Végponthoz készült Microsoft Defender telepítési problémáinak elhárítását ismertető cikket.
Eltávolítása
Megjegyzés:
A macOS-en Végponthoz készült Microsoft Defender eltávolítása előtt ki kell kapcsolnia a nem Windows rendszerű eszközök kivezetését.
A Végponthoz készült Microsoft Defender többféleképpen is eltávolíthatja macOS rendszeren. Vegye figyelembe, hogy bár a központilag felügyelt eltávolítás elérhető a JAMF-en, a Microsoft Intune még nem érhető el.
Interaktív eltávolítás
- Nyissa meg a Finder-alkalmazásokat>. Kattintson a jobb gombbal Végponthoz készült Microsoft Defender > Áthelyezés a Kukába elemre.
Támogatott kimeneti típusok
Támogatja a táblázatos és JSON formátumú kimeneti típusokat. Minden parancshoz tartozik egy alapértelmezett kimeneti viselkedés. Az alábbi parancsokkal módosíthatja a kimenetet az előnyben részesített kimeneti formátumban:
-output json
-output table
A parancssorból
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
A JAMF Pro használata
Ha el szeretné távolítani Végponthoz készült Microsoft Defender macOS rendszeren a JAMF Pro használatával, töltse fel a kivezetési profilt.
A kivezetési profilt módosítások nélkül kell feltölteni, és a preferenciatartomány neve a com.microsoft.wdav.atp.offboarding értékre van állítva:
Konfigurálás a parancssorból
A fontos feladatok, például a termékbeállítások szabályozása és az igény szerinti vizsgálatok elindítása a parancssorból végezhetők el:
| Csoport | Forgatókönyv | Parancs |
|---|---|---|
| Konfiguráció | A víruskereső passzív módjának be- és kikapcsolása | mdatp config passive-mode --value [enabled/disabled] |
| Konfiguráció | Valós idejű védelem be- és kikapcsolása | mdatp config real-time-protection --value [enabled/disabled] |
| Konfiguráció | A felhővédelem be- és kikapcsolása | mdatp config cloud --value [enabled/disabled] |
| Konfiguráció | Termékdiagnosztikák be- és kikapcsolása | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Konfiguráció | Mintaküldés automatikus be- és kikapcsolása | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Konfiguráció | PUA-védelem be-/naplózása/kikapcsolása | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Konfiguráció | Víruskereső kizárásának hozzáadása/eltávolítása egy folyamathoz | mdatp exclusion process [add/remove] --path [path-to-process]Vagy mdatp exclusion process [add\|remove] --name [process-name] |
| Konfiguráció | Víruskereső kizárásának hozzáadása/eltávolítása egy fájlhoz | mdatp exclusion file [add/remove] --path [path-to-file] |
| Konfiguráció | Víruskereső kizárásának hozzáadása/eltávolítása egy címtárban | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Konfiguráció | Víruskereső kizárásának hozzáadása/eltávolítása fájlkiterjesztéshez | mdatp exclusion extension [add/remove] --name [extension] |
| Konfiguráció | Az összes víruskereső kizárásának listázása | mdatp exclusion list |
| Konfiguráció | Párhuzamossági fok konfigurálása igény szerinti vizsgálatokhoz | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfiguráció | Vizsgálatok be- és kikapcsolása a biztonságiintelligencia-frissítések után | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfiguráció | Archív vizsgálat be- és kikapcsolása (csak igény szerinti vizsgálatok esetén) | mdatp config scan-archives --value [enabled/disabled] |
| Konfiguráció | Fájlkivonat-számítások be- és kikapcsolása | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Védelem | Elérési út vizsgálata | mdatp scan custom --path [path] [--ignore-exclusions] |
| Védelem | Gyorsvizsgálat | mdatp scan quick |
| Védelem | Teljes vizsgálat | mdatp scan full |
| Védelem | Folyamatban lévő igény szerinti vizsgálat megszakítása | mdatp scan cancel |
| Védelem | Biztonságiintelligencia-frissítés kérése | mdatp definitions update |
| Konfiguráció | Fenyegetésnév hozzáadása az engedélyezett listához | mdatp threat allowed add --name [threat-name] |
| Konfiguráció | Fenyegetésnév eltávolítása az engedélyezett listából | mdatp threat allowed remove --name [threat-name] |
| Konfiguráció | Az összes engedélyezett fenyegetésnév listázása | mdatp threat allowed list |
| Védelmi előzmények | A teljes védelmi előzmények nyomtatása | mdatp threat list |
| Védelmi előzmények | Fenyegetés részleteinek lekérése | mdatp threat get --id [threat-id] |
| Karanténkezelés | Az összes karanténba helyezett fájl listázása | mdatp threat quarantine list |
| Karanténkezelés | Az összes fájl eltávolítása a karanténból | mdatp threat quarantine remove-all |
| Karanténkezelés | A karantén fenyegetéseként észlelt fájl hozzáadása | mdatp threat quarantine add --id [threat-id] |
| Karanténkezelés | Fenyegetésként észlelt fájl eltávolítása a karanténból | mdatp threat quarantine remove --id [threat-id] |
| Karanténkezelés | Fájl visszaállítása a karanténból. A Végponthoz készült Defender 101.23092.0012-esnél régebbi verziójában érhető el. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Karanténkezelés | Fájl visszaállítása a karanténból fenyegetésazonosítóval. A Végponthoz készült Defender 101.23092.0012-es vagy újabb verziójában érhető el. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Karanténkezelés | Fájl visszaállítása a karanténból a Threat Original Path (Fenyegetés eredeti elérési útja) használatával. A Végponthoz készült Defender 101.23092.0012-es vagy újabb verziójában érhető el. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Hálózatvédelmi konfiguráció | A Hálózatvédelem kényszerítési szintjének konfigurálása | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Hálózatvédelem kezelése | Ellenőrizze, hogy a hálózatvédelem sikeresen elindult-e | mdatp health --field network_protection_status |
| Eszközvezérlés kezelése | Engedélyezve van az eszközvezérlés, és mi az alapértelmezett kényszerítés? | mdatp device-control policy preferences list |
| Eszközvezérlés kezelése | Milyen eszközvezérlési szabályzat van engedélyezve? | mdatp device-control policy rules list |
| Eszközvezérlés kezelése | Milyen eszközvezérlési szabályzatcsoportok vannak engedélyezve? | mdatp device-control policy groups list |
| Konfiguráció | Adatveszteség-megelőzés be- és kikapcsolása | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnosztika | A naplószint módosítása | mdatp log level set --level [error/warning/info/verbose] |
| Diagnosztika | Diagnosztikai naplók létrehozása | mdatp diagnostic create --path [directory] |
| Állapot | A termék állapotának ellenőrzése | mdatp health |
| Állapot | Adott termékattribútum keresése | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | EDR-lista kizárásai (gyökér) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Címke beállítása/eltávolítása, csak a GROUP támogatott | mdatp edr tag set --name GROUP --value [name] |
| EDR | Csoportcímke eltávolítása az eszközről | mdatp edr tag remove --tag-name [name] |
| EDR | Csoportazonosító hozzáadása | mdatp edr group-ids --group-id [group] |
Az automatikus kiegészítés engedélyezése
Ha engedélyezni szeretné az automatikus kiegészítést a Bashben, futtassa a következő parancsot, és indítsa újra a terminálmunkamenetet:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Az automatikus kiegészítés engedélyezése a zsh-ban:
Ellenőrizze, hogy az automatikus kiegészítés engedélyezve van-e az eszközön:
cat ~/.zshrc | grep autoloadHa az előző parancs nem hoz létre kimenetet, az alábbi paranccsal engedélyezheti az automatikus kiegészítést:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcFuttassa a következő parancsokat a Végponthoz készült Microsoft Defender automatikus kiegészítésének engedélyezéséhez macOS rendszeren, majd indítsa újra a terminálmunkamenetet:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Ügyfél Végponthoz készült Microsoft Defender karanténkönyvtár
/Library/Application Support/Microsoft/Defender/quarantine/ A a által mdatpkaranténba helyezett fájlokat tartalmazza. A fájlok neve a fenyegetéskövetési azonosító után található. Az aktuális nyomkövetési azonosítók a következővel mdatp threat listjelennek meg: .
Végponthoz készült Microsoft Defender portál adatai
Az Végponthoz készült Microsoft Defender blog, a macOS EDR képességei most már részletes útmutatást nyújtanak a várható lépésekhez.
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: