Vizsgálatok ütemezése Végponthoz készült Microsoft Defender macOS rendszeren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Beépített vizsgálat ütemezése Végponthoz készült Microsoft Defender macOS rendszeren
Bár a fenyegetésvizsgálatot bármikor elindíthatja a Végponthoz készült Microsoft Defender, a vállalat kihasználhatja az ütemezett vagy időzített vizsgálatokat. Ütemezhet például egy vizsgálatot úgy, hogy minden munkanap vagy hét elején fusson.
Az ütemezett vizsgálatok háromféleképpen konfigurálhatók: óránkénti, napi és heti vizsgálatok. Az óránkénti és a napi ütemezett vizsgálatok mindig gyors vizsgálatként futnak, a heti vizsgálatok gyors vagy teljes vizsgálatra konfigurálhatók. Az ütemezett vizsgálatok mindhárom típusát egyszerre lehet lekésni. Tekintse meg az alábbi mintákat.
Előfeltételek:
- Platformfrissítési verzió: 101.23122.0005 vagy újabb
Vizsgálat ütemezése Végponthoz készült Microsoft Defender macOS rendszeren
Létrehozhat egy ütemezett vizsgálatot a macOS-hez, amely beépítetten Végponthoz készült Microsoft Defender macOS rendszeren.
Az itt használt .plist fájlformátumról további információt az Információk tulajdonságlista-fájlok című témakörben talál az Apple hivatalos fejlesztői webhelyén.
Az alábbi minta az ütemezett vizsgálat napi és/vagy heti konfigurációját mutatja be macOS rendszeren.
Tipp
Az ütemezések az eszköz helyi időzónáján alapulnak.
Paraméter | A paraméter elfogadható értékei a következők: |
---|---|
scheduledScan | engedélyezve vagy letiltva |
scanType | gyors vagy teljes |
ignoreExclusions | igaz vagy hamis |
lowPriorityScheduledScan | igaz vagy hamis |
dayOfWeek | A tartomány 0 és 8 között van. - 0: Mindennapi - 1: vasárnap - 2: hétfő - 3: Kedd - 4: Szerda - 5: Csütörtök - 6: Péntek - 7: Szombat - 8: Soha |
timeOfDay | Az ütemezett vizsgálat végrehajtásához a nap időpontját adja meg az éjfél utáni percek számaként. Az idő a számítógépen lévő helyi időre vonatkozik. Ha nem ad meg értéket ehhez a paraméterhez, az ütemezett vizsgálat alapértelmezés szerint két órával éjfél után fut le. |
Intervallum | 0 (soha), minden 1 (óra) és 24 (óra, 1 vizsgálat naponta) |
randomizeScanStartTime | Csak napi gyorsvizsgálatokhoz vagy heti gyors/teljes vizsgálatokhoz alkalmazható. Véletlenszerűsítse a vizsgálat kezdési időpontját megadott számú órával. Ha például egy vizsgálat délután 2 órára van ütemezve, és a randomizeScanStartTime értéke 2, a vizsgálat véletlenszerűen kezdődik 14:00 és 16:00 között. |
Az ütemezett vizsgálat a plistben megadott dátumon, időpontban és gyakorisággal fut.
1. példa: Napi gyorsvizsgálat és heti teljes vizsgálat ütemezése plist használatával
A következő példában a napi gyorsvizsgálati konfiguráció úgy van beállítva, hogy éjfél után 885 perccel (14:45) fusson.
A heti konfiguráció úgy van beállítva, hogy teljes vizsgálatot futtasson szerdán éjfél után 880 perccel (14:40- kor).
Úgy van beállítva, hogy figyelmen kívül hagyja a kizárásokat, és alacsony prioritású vizsgálatot futtasson.
Az alábbi kód azt a sémát mutatja be, amelyet a vizsgálatok ütemezéséhez a fenti követelményeknek megfelelően kell használnia.
- Nyisson meg egy szövegszerkesztőt, és használja ezt a példát útmutatóként a saját ütemezett vizsgálati fájljához.
Intune esetén:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- Mentse a fájlt com.microsoft.wdav.mobileconfig néven.
JamF és más külső MDM-ekhez:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Mentse a fájlt com.microsoft.wdav.plist néven.
Ellenőrizze, hogy az ütemezett vizsgálat konfigurálva van-e a "Beállítás beállítása" beállítással
mdatp health --details scheduled_scan
Az eredmények között meg kell jelennie a [managed] elemnek.
2. példa: Óránkénti gyorsvizsgálat, napi gyorsvizsgálat és heti teljes vizsgálat ütemezése plist használatával
A következő példában egy óránkénti gyorsvizsgálat 6 óránként fog futni, a napi gyorsvizsgálati konfiguráció úgy van beállítva, hogy éjfél után 885 perccel (14:45) fusson, és a heti teljes vizsgálat szerdán éjfél után 880 perccel (14:40- kor) fog futni.
Intune esetén:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Mentse a fájlt com.microsoft.wdav.mobileconfig néven.
JamF és más külső MDM-ekhez:
- Nyisson meg egy szövegszerkesztőt, és használja ezt a példát.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Mentse a fájlt com.microsoft.wdav.plist néven.
Ellenőrizze, hogy az ütemezett vizsgálat konfigurálva van-e a "Beállítás beállítása" beállítással
mdatp health --details scheduled_scan
Az eredmények között meg kell jelennie a [managed] elemnek.
3. lehetőség: Ütemezett vizsgálatok konfigurálása parancssori felületi eszközzel
Az ütemezett vizsgálati funkció engedélyezése:
Verzió | Parancs |
---|---|
101.23122.* vagy újabb verzió | sudo mdatp config scheduled-scan settings feature --value enabled |
Óránkénti gyorsvizsgálatok ütemezése:
Verzió | Parancs |
---|---|
101.23122.* vagy újabb verzió | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Napi gyorsvizsgálatok ütemezése:
Verzió | Parancs |
---|---|
101.23122.* vagy újabb verzió | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Heti vizsgálatok ütemezése:
Verzió | Parancs |
---|---|
101.23122.* vagy újabb verzió | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Egyéb konfigurációs lehetőségek:
A definíciók frissítésének ellenőrzése az ütemezett vizsgálatok előtt:
sudo mdatp config scheduled-scan settings check-for-definitions --value true
Alacsony prioritású szálak használata ütemezett vizsgálathoz:
sudo mdatp config scheduled-scan settings low-priority --value true
Ellenőrizze, hogy az ütemezett vizsgálat lefutott-e
Használja a következő parancsot:
mdatp scan list
\<snip\>
Fontos
Az ütemezett vizsgálatok nem futnak az ütemezett időpontban, amíg az eszköz alvó állapotban van. Ehelyett az ütemezett vizsgálatok akkor futnak, amikor az eszköz alvó üzemmódból folytatja a munkát. Ha az eszköz ki van kapcsolva, a vizsgálat a következő ütemezett vizsgálati időpontban fut.
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: