Condividi tramite


Risorse per Microsoft Defender per endpoint in macOS

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Raccolta di informazioni di diagnostica

Se è possibile riprodurre un problema, aumentare il livello di registrazione, eseguire il sistema per qualche tempo e quindi ripristinare il livello di registrazione predefinito.

  1. Aumentare il livello di registrazione:

    mdatp log level set --level debug
    
    Log level configured successfully
    
  2. Riprodurre il problema.

  3. Eseguire sudo mdatp diagnostic create per eseguire il backup dei log Microsoft Defender per endpoint. I file vengono archiviati all'interno di un .zip archivio. Questo comando stampa anche il percorso del file nel backup dopo il completamento dell'operazione.

    Consiglio

    Per impostazione predefinita, i log di diagnostica vengono salvati in /Library/Application Support/Microsoft/Defender/wdavdiag/. Per modificare la directory in cui vengono salvati i log di diagnostica, passare --path [directory] al comando seguente, sostituendo [directory] con la directory desiderata.

    sudo mdatp diagnostic create
    
    Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
    
  4. Ripristinare il livello di registrazione.

    mdatp log level set --level info
    
    Log level configured successfully
    

Problemi di installazione della registrazione

Se si verifica un errore durante l'installazione, il programma di installazione segnala solo un errore generale. Il log dettagliato viene salvato in /Library/Logs/Microsoft/mdatp/install.log. Se si verificano problemi durante l'installazione, inviare il file quando si apre il caso di supporto in modo da poter diagnosticare la causa.

Per altre informazioni sulla risoluzione dei problemi di installazione, vedere Risolvere i problemi di installazione per Microsoft Defender per endpoint in macOS.

Configurazione dalla riga di comando

Tipi di output supportati

Supporta i tipi di output di formato tabella e JSON. Per ogni comando è presente un comportamento di output predefinito. È possibile modificare l'output nel formato di output preferito usando i comandi seguenti:

-output json

-output table

Le attività importanti, ad esempio il controllo delle impostazioni del prodotto e l'attivazione di analisi su richiesta, possono essere eseguite tramite la riga di comando:

Gruppo Scenario Comando
Configurazione Attivare/disattivare l'antivirus in modalità passiva mdatp config passive-mode --value [enabled/disabled]
Configurazione Attivare/disattivare la protezione in tempo reale mdatp config real-time-protection --value [enabled/disabled]
Configurazione Attivare/disattivare il monitoraggio del comportamento mdatp config behavior-monitoring --value [enabled/disabled]
Configurazione Attivare/disattivare la protezione cloud mdatp config cloud --value [enabled/disabled]
Configurazione Attivare/disattivare la diagnostica del prodotto mdatp config cloud-diagnostic --value [enabled/disabled]
Configurazione Attivare/disattivare l'invio automatico di campioni mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
Configurazione Attivare/controllare/disattivare la protezione PUA mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
Configurazione Aggiungere/rimuovere un'esclusione antivirus per un processo mdatp exclusion process [add/remove] --path [path-to-process]o mdatp exclusion process [add\|remove] --name [process-name]
Configurazione Aggiungere/rimuovere un'esclusione antivirus per un file mdatp exclusion file [add/remove] --path [path-to-file]
Configurazione Aggiungere/rimuovere un'esclusione antivirus per una directory mdatp exclusion folder [add/remove] --path [path-to-directory]
Configurazione Aggiungere/rimuovere un'esclusione antivirus per un'estensione di file mdatp exclusion extension [add/remove] --name [extension]
Configurazione Elencare tutte le esclusioni antivirus mdatp exclusion list
Configurazione Configurare il grado di parallelismo per le analisi su richiesta mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Configurazione Attivare/disattivare le analisi dopo gli aggiornamenti dell'intelligence per la sicurezza mdatp config scan-after-definition-update --value [enabled/disabled]
Configurazione Attivare/disattivare l'analisi degli archivi (solo analisi su richiesta) mdatp config scan-archives --value [enabled/disabled]
Configurazione Attivare/disattivare il calcolo dell'hash dei file mdatp config enable-file-hash-computation --value [enabled/disabled]
Protezione Analizzare un percorso mdatp scan custom --path [path] [--ignore-exclusions]
Protezione Eseguire un'analisi rapida mdatp scan quick
Protezione Eseguire un'analisi completa mdatp scan full
Protezione Annullare un'analisi su richiesta in corso mdatp scan cancel
Protezione Richiedere un aggiornamento dell'intelligence per la sicurezza mdatp definitions update
Configurazione Aggiungere un nome di minaccia all'elenco consentito mdatp threat allowed add --name [threat-name]
Configurazione Rimuovere un nome di minaccia dall'elenco consentito mdatp threat allowed remove --name [threat-name]
Configurazione Elencare tutti i nomi di minaccia consentiti mdatp threat allowed list
Cronologia protezione Stampare la cronologia di protezione completa mdatp threat list
Cronologia protezione Ottenere i dettagli sulle minacce mdatp threat get --id [threat-id]
Gestione della quarantena Elencare tutti i file in quarantena mdatp threat quarantine list
Gestione della quarantena Rimuovere tutti i file dalla quarantena mdatp threat quarantine remove-all
Gestione della quarantena Aggiungere un file rilevato come minaccia alla quarantena mdatp threat quarantine add --id [threat-id]
Gestione della quarantena Rimuovere un file rilevato come minaccia dalla quarantena mdatp threat quarantine remove --id [threat-id]
Gestione della quarantena Ripristinare un file dalla quarantena. Disponibile in Defender per la versione endpoint precedente alla versione 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Gestione della quarantena Ripristinare un file dalla quarantena con l'ID minaccia. Disponibile in Defender per endpoint versione 101.23092.0012 o successiva. mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
Gestione della quarantena Ripristinare un file dalla quarantena con Threat Original Path. Disponibile in Defender per endpoint versione 101.23092.0012 o successiva. mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Configurazione della protezione di rete Configurare il livello di imposizione di Protezione rete mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
Gestione di Protezione rete Verificare che la protezione di rete sia stata avviata correttamente mdatp health --field network_protection_status
Gestione del controllo dei dispositivi Controllo dispositivo è abilitato e qual è l'imposizione predefinita? mdatp device-control policy preferences list
Gestione del controllo dei dispositivi Quali criteri di controllo del dispositivo sono abilitati? mdatp device-control policy rules list
Gestione del controllo dei dispositivi Quali gruppi di criteri di Controllo dispositivi sono abilitati? mdatp device-control policy groups list
Configurazione Attivare/disattivare la prevenzione della perdita di dati mdatp config data_loss_prevention --value [enabled/disabled]
Diagnostica Modificare il livello di log mdatp log level set --level [error/warning/info/verbose]
Diagnostica Generare log di diagnostica mdatp diagnostic create --path [directory]
Sanità Controllare l'integrità del prodotto mdatp health
Sanità Verificare la presenza di un attributo di prodotto specifico mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR Esclusioni elenco EDR (radice) mdatp edr exclusion list [processes|paths|extensions|all]
EDR Imposta/Rimuovi tag, supportato solo da GROUP mdatp edr tag set --name GROUP --value [name]
EDR Rimuovere il tag di gruppo dal dispositivo mdatp edr tag remove --tag-name [name]
EDR Aggiungere l'ID gruppo mdatp edr group-ids --group-id [group]

Come abilitare il completamento automatico

Per abilitare il completamento automatico in bash, eseguire il comando seguente e riavviare la sessione terminale:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

Per abilitare il completamento automatico in zsh:

  • Controllare se il completamento automatico è abilitato nel dispositivo:

    cat ~/.zshrc | grep autoload
    
  • Se il comando precedente non produce alcun output, è possibile abilitare il completamento automatico usando il comando seguente:

    echo "autoload -Uz compinit && compinit" >> ~/.zshrc
    
  • Eseguire i comandi seguenti per abilitare il completamento automatico per Microsoft Defender per endpoint in macOS e riavviare la sessione del terminale:

    sudo mkdir -p /usr/local/share/zsh/site-functions
    
    sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
    

Directory di quarantena Microsoft Defender per endpoint client

/Library/Application Support/Microsoft/Defender/quarantine/ contiene i file messi in quarantena da mdatp. I file sono denominati in base al valore di threat trackingId. I trackingId correnti vengono visualizzati con mdatp threat list.

Disinstallazione

Esistono diversi modi per disinstallare Microsoft Defender per endpoint in macOS. Anche se la disinstallazione gestita centralmente è disponibile in JAMF, non è ancora disponibile per Microsoft Intune.

Tutte le disinstallazioni di Microsoft Defender per endpoint in macOS richiedono quanto segue:

  1. Creare un tag del dispositivo e denominare il tag disattivato e assegnarlo a macOS in cui è in corso la disinstallazione di Microsoft Defender per macOS.

  2. Creare un gruppo di dispositivi e denominarlo (ad esempio , macOS non in uso) e assegnare un gruppo di utenti che dovrebbe essere in grado di visualizzarli.

    Nota: i passaggi 1 e 2 sono facoltativi se non si desidera visualizzare questi dispositivi ritirati nell'"inventario dei dispositivi" per 180 giorni.

  3. Rimuovere i criteri "Imposta preferenze" che contengono Protezione antimanomissione o tramite la configurazione manuale.

  4. Offboard per ogni dispositivo offboard non Windows.

  5. Disinstallare il Microsoft Defender per endpoint per le app macOS

  6. Rimuovere il dispositivo dal gruppo per i criteri di estensione di sistema se è stato usato un MDM per impostarli.

Disinstallazione interattiva

  • Aprire Applicazioni finder>. Fare clic con il pulsante destro del mouse su Microsoft Defender per endpoint e quindi selezionare Sposta nel cestino.

Dalla riga di comando

  • sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

Uso di JAMF Pro

Per disinstallare Microsoft Defender per endpoint in macOS usando JAMF Pro, caricare il profilo di offboarding.

Il profilo di offboarding deve essere caricato senza alcuna modifica e con il nome di dominio preferenza impostato su com.microsoft.wdav.atp.offboarding, come illustrato nell'immagine seguente:

Screenshot dello schermo di offboarding JAMF

Nota

Se si verificano problemi durante la disinstallazione di Defender per endpoint su Mac e nei report viene visualizzato un elemento per Microsoft Defender estensioni di sicurezza degli endpoint, seguire questa procedura:

  1. Reinstallare l'app Microsoft Defender.
  2. Trascinare Microsoft Defender.app nel Cestino.
  3. Eseguire questo comando: sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook.
  4. Riavviare il dispositivo.

Portale Microsoft Defender

Quando vengono rilevate minacce, il team di sicurezza può visualizzare i rilevamenti e, se necessario, eseguire azioni di risposta in un dispositivo nel portale di Microsoft Defender (https://security.microsoft.com). Il Microsoft Defender combina protezione, rilevamento, indagine e risposta alle minacce in una posizione centrale. Per ulteriori informazioni, vedere le seguenti risorse:

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.