Vizsgálatok ütemezése Végponthoz készült Microsoft Defender macOS rendszeren

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Bár a fenyegetésvizsgálatot bármikor elindíthatja a Végponthoz készült Microsoft Defender, a vállalat kihasználhatja az ütemezett vagy időzített vizsgálatokat. Ütemezhet például egy vizsgálatot úgy, hogy minden munkanap vagy hét elején fusson.

Vizsgálat ütemezése indítással

A macOS-eszközön az elindított démon használatával vizsgálati ütemezést hozhat létre.

Az itt használt .plist fájlformátumról további információt az Információk tulajdonságlista-fájlok című témakörben talál az Apple hivatalos fejlesztői webhelyén.

Gyorsvizsgálat ütemezése

Az alábbi kód a gyorsvizsgálat ütemezéséhez szükséges sémát mutatja be.

  1. Nyisson meg egy szövegszerkesztőt, és használja ezt a példát útmutatóként a saját ütemezett vizsgálati fájljához.

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
      "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
        <key>Label</key>
        <string>com.microsoft.wdav.schedquickscan</string>
        <key>ProgramArguments</key>
        <array>
            <string>sh</string>
            <string>-c</string>
            <string>/usr/local/bin/mdatp scan quick</string>
        </array>
        <key>RunAtLoad</key>
        <true/>
        <key>StartCalendarInterval</key>
        <dict>
            <key>Day</key>
            <integer>3</integer>
            <key>Hour</key>
            <integer>2</integer>
            <key>Minute</key>
            <integer>0</integer>
            <key>Weekday</key>
            <integer>5</integer>
        </dict>
        <key>WorkingDirectory</key>
        <string>/usr/local/bin/</string>
    </dict>
    </plist>
    
  2. Mentse a fájlt com.microsoft.wdav.schedquickscan.plist néven a /Library/LaunchDaemons könyvtárba.

Teljes vizsgálat ütemezése

  1. Nyisson meg egy szövegszerkesztőt, és használja ezt a példát a teljes vizsgálathoz.

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
      "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
        <key>Label</key>
        <string>com.microsoft.wdav.schedfullscan</string>
        <key>ProgramArguments</key>
        <array>
            <string>sh</string>
            <string>-c</string>
            <string>/usr/local/bin/mdatp scan full</string>
        </array>
        <key>RunAtLoad</key>
        <true/>
        <key>StartCalendarInterval</key>
        <dict>
            <key>Day</key>
            <integer>3</integer>
            <key>Hour</key>
            <integer>2</integer>
            <key>Minute</key>
            <integer>50</integer>
            <key>Weekday</key>
            <integer>5</integer>
        </dict>
        <key>WorkingDirectory</key>
        <string>/usr/local/bin/</string>
    </dict>
    </plist>
    
  2. Mentse a fájlt com.microsoft.wdav.schedfullscan.plist néven a /Library/LaunchDaemons könyvtárba.

A fájl betöltése

  1. Nyissa meg a Terminált.

  2. A fájl betöltéséhez adja meg a következő parancsokat:

    chown root:wheel /Library/LaunchDaemons/com.microsoft.wdav.sched*
    chmod 644 /Library/LaunchDaemons/com.microsoft.wdav.sched*
    xattr -c /Library/LaunchDaemons/com.microsoft.wdav.sched*     
    launchctl load -w /Library/LaunchDaemons/<your file name.plist>
    
  3. Az ütemezett vizsgálat a p-listában megadott dátumon, időpontban és gyakorisággal fog futni. Az előző példákban a vizsgálat minden pénteken 02:50-kor fut le.

    • A Weekday értéke StartCalendarInterval egy egész szám használatával jelzi a hét ötödik napját vagy a pénteket. A tartomány 1 és 7 között van, és a 7 a vasárnapot jelöli.
    • A Day értéke StartCalendarInterval egy egész szám használatával jelzi a hónap harmadik napját. A tartomány 1 és 31 között van.
    • A Hour értéke StartCalendarInterval egy egész szám használatával jelzi a nap második óráját. A tartomány 0 és 23 között van. A Minute értéke StartCalendarInterval egy egész szám használatával jelzi az óra ötven percét. A tartomány 0 és 59 között van.

Fontos

Az indítással végrehajtott ügynökök nem futnak az ütemezett időpontban, amíg az eszköz alvó állapotban van. Ehelyett akkor futnak, ha az eszköz alvó üzemmódból újraindul.

Ha az eszköz ki van kapcsolva, a vizsgálat a következő ütemezett vizsgálati időpontban fog futni.

Vizsgálat ütemezése Intune

A vizsgálatokat Microsoft Intune is ütemezheti. Az Végponthoz készült Microsoft Defenderszkriptjeiben elérhető runMDATPQuickScan.sh felületszkript megmarad, amikor az eszköz alvó üzemmódból folytatja a munkát.

A parancsprogram vállalati használatra vonatkozó részletes útmutatásért lásd: Rendszerhéjszkriptek használata macOS-eszközökön a Intune.