Modalità di risoluzione dei problemi in Microsoft Defender per endpoint in macOS
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint su macOS
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Questo articolo descrive come abilitare la modalità di risoluzione dei problemi in Microsoft Defender per endpoint in macOS in modo che gli amministratori possano risolvere temporaneamente varie funzionalità di antivirus Microsoft Defender, anche se i criteri dell'organizzazione gestiscono i dispositivi.
Ad esempio, se la protezione da manomissione è abilitata, alcune impostazioni non possono essere modificate o disattivate, ma è possibile usare la modalità di risoluzione dei problemi nel dispositivo per modificare temporaneamente tali impostazioni.
La modalità di risoluzione dei problemi è disabilitata per impostazione predefinita e richiede l'attivazione per un dispositivo (e/o un gruppo di dispositivi) per un periodo di tempo limitato. La modalità di risoluzione dei problemi è esclusivamente una funzionalità solo aziendale e richiede l'accesso a Microsoft Defender portale.
Cosa devi sapere prima di iniziare
Durante la modalità di risoluzione dei problemi, è possibile:
Usare Microsoft Defender per endpoint nella risoluzione dei problemi funzionali macOS /compatibilità dell'applicazione (falsi positivi).
Gli amministratori locali, con le autorizzazioni appropriate, possono modificare le configurazioni bloccate dei criteri seguenti nei singoli endpoint:
Impostazione Attivazione Disabilita/Rimuovi protezione Real-Time/modalità passiva/su richiesta mdatp config real-time-protection --value enabled
mdatp config real-time-protection --value disabled
Protezione di rete mdatp config network-protection enforcement-level --value block
mdatp config network-protection enforcement-level --value disabled
realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled
mdatp config real-time-protection-statistics --value disabled
tag mdatp edr tag set --name GROUP --value [name]
mdatp edr tag remove --tag-name [name]
groupIds mdatp edr group-ids --group-id [group]
DLP endpoint mdatp config data_loss_prevention --value enabled
mdatp config data_loss_prevention --value disabled
Durante la modalità di risoluzione dei problemi, non è possibile:
- Disabilitare la protezione da manomissione per Microsoft Defender per endpoint in macOS.
- Disinstallare il Microsoft Defender per endpoint in macOS.
Prerequisiti
- Versione supportata di macOS per Microsoft Defender per endpoint.
- Microsoft Defender per endpoint deve essere registrato dal tenant e attivo nel dispositivo.
- Autorizzazioni per "Gestire le impostazioni di sicurezza nel Centro sicurezza" in Microsoft Defender per endpoint.
- Versione dell'aggiornamento della piattaforma: 101.23122.0005 o successiva.
Abilitare la modalità di risoluzione dei problemi in macOS
Passare al portale di Microsoft Defender e accedere.
Passare alla pagina del dispositivo che si vuole attivare la modalità di risoluzione dei problemi. Selezionare quindi i puntini di sospensione (...) e selezionare Attiva modalità di risoluzione dei problemi.
Nota
L'opzione Attiva modalità di risoluzione dei problemi è disponibile in tutti i dispositivi, anche se il dispositivo non soddisfa i prerequisiti per la modalità di risoluzione dei problemi.
Leggere le informazioni visualizzate nel riquadro e, una volta pronti, selezionare Invia per confermare che si vuole attivare la modalità di risoluzione dei problemi per il dispositivo.
Si noterà che potrebbero essere necessari alcuni minuti prima che la modifica dia effetto al testo visualizzato. Durante questo periodo, quando si selezionano di nuovo i puntini di sospensione, verrà visualizzata l'opzione Attiva risoluzione dei problemi in sospeso disattivata.
Al termine, la pagina del dispositivo mostra che il dispositivo è ora in modalità di risoluzione dei problemi.
Se l'utente finale è connesso nel dispositivo macOS, verrà visualizzato il testo seguente:
La modalità di risoluzione dei problemi è stata avviata. Questa modalità consente di modificare temporaneamente le impostazioni gestite dall'amministratore. Scade in YEAR-MM-DDTHH:MM:SSZ.
Seleziona OK.
Una volta abilitata, è possibile testare le diverse opzioni della riga di comando che possono essere attivate nella modalità di risoluzione dei problemi (modalità TS).
Ad esempio, quando si usa il
mdatp config real-time-protection --value disabled
comando per disabilitare la protezione in tempo reale, verrà richiesto di immettere la password. Selezionare OK dopo aver immesso la password.Il report di output simile allo screenshot seguente verrà visualizzato durante l'esecuzione dell'integrità di mdatp con
real_time_protection_enabled
il valore "false" etamper_protection
"block".
Query di ricerca avanzate per il rilevamento
Esistono alcune query di ricerca avanzate predefinite per offrire visibilità sugli eventi di risoluzione dei problemi che si verificano nell'ambiente. È possibile usare queste query per creare regole di rilevamento per generare avvisi quando i dispositivi sono in modalità di risoluzione dei problemi.
Ottenere gli eventi di risoluzione dei problemi per un dispositivo specifico
È possibile usare la query seguente per eseguire la ricerca in base deviceId
a o deviceName
impostando come commento le rispettive righe.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Dispositivi attualmente in modalità di risoluzione dei problemi
È possibile trovare i dispositivi attualmente in modalità di risoluzione dei problemi usando la query seguente:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Numero di istanze della modalità di risoluzione dei problemi per dispositivo
È possibile trovare il numero di istanze della modalità di risoluzione dei problemi per un dispositivo usando la query seguente:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Conteggio totale
È possibile conoscere il numero totale di istanze della modalità di risoluzione dei problemi usando la query seguente:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Contenuto consigliato
- Microsoft Defender XDR per endpoint su Mac
- Microsoft Defender XDR per l'integrazione degli endpoint con Microsoft Defender XDR per le app cloud
- Scopri le funzionalità innovative di Microsoft Edge
- Proteggere la rete
- Attivare la protezione di rete
- Protezione sul Web
- Creare indicatori
- Filtro contenuti Web
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.