Pianificare le analisi con Microsoft Defender per endpoint in macOS
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Pianificare un'analisi integrata in Microsoft Defender per endpoint in macOS
Anche se è possibile avviare un'analisi delle minacce in qualsiasi momento con Microsoft Defender per endpoint, l'azienda potrebbe trarre vantaggio dalle analisi pianificate o a tempo. Ad esempio, è possibile pianificare l'esecuzione di un'analisi all'inizio di ogni giorno lavorativo o settimana.
Sono disponibili tre tipi di analisi pianificate configurabili: analisi orarie, giornaliere e settimanali. Le analisi pianificate orarie e giornaliere vengono sempre eseguite come analisi rapide, le analisi settimanali possono essere configurate per essere analisi rapide o complete. È possibile avere tutti e tre i tipi di analisi pianificate contemporaneamente. Vedere gli esempi in questo articolo.
Prerequisiti:
- Versione dell'aggiornamento della piattaforma: 101.23122.0005 o successiva
Pianificare un'analisi con Microsoft Defender per endpoint in macOS
È possibile creare un'analisi pianificata per macOS, integrata in Microsoft Defender per endpoint in macOS.
Per altre informazioni sul formato di .plist file usato qui, vedere Informazioni sui file dell'elenco delle proprietà nel sito Web ufficiale per sviluppatori Apple.
L'esempio seguente mostra la configurazione giornaliera e/o settimanale per l'analisi pianificata in macOS.
Consiglio
Le pianificazioni si basano sul fuso orario locale del dispositivo.
| Parametro | I valori consentiti per questo parametro sono: |
|---|---|
scheduledScan |
enabled o disabled |
scanType |
quick o full |
ignoreExclusions |
true o false |
| lowPriorityScheduledScan |
true o false |
dayOfWeek |
L'intervallo è compreso tra 0 e 8. - 0:Ogni giorno- 1:Domenica- 2:Lunedì- 3:Martedì- 4:Mercoledì- 5:Giovedì- 6:Venerdì- 7:Sabato- 8:Mai |
timeOfDay |
Specifica l'ora del giorno, come numero di minutes after midnight, per eseguire un'analisi pianificata. L'ora si riferisce all'ora locale nel computer. Se non si specifica un valore per questo parametro, un'analisi pianificata viene eseguita in un'ora predefinita di due ore dopo la mezzanotte. |
interval |
0 (mai), every 1 (ora) a every 24 (ore, una scansione al giorno) |
randomizeScanStartTime |
Applicabile solo per analisi rapide giornaliere o analisi rapide/complete settimanali. Rendere casuale l'ora di inizio dell'analisi fino al numero di ore specificato. Ad esempio, se un'analisi è pianificata per le 14:00 e randomizeScanStartTime è impostata su 2, l'analisi inizia in un momento casuale tra le 14:00 e le 16:00. |
L'analisi pianificata viene eseguita alla data, all'ora e alla frequenza definite nell'oggetto plist.
Esempio 1: Pianificare un'analisi rapida giornaliera e un'analisi completa settimanale usando un elenco di elementi
Nell'esempio seguente, la configurazione dell'analisi rapida giornaliera è impostata per l'esecuzione a 885 minuti dopo la mezzanotte (14:45). La configurazione settimanale è impostata per eseguire un'analisi completa il mercoledì alle 880 minuti dopo la mezzanotte (14:40). Ed è impostato per ignorare le esclusioni ed eseguire un'analisi con priorità bassa.
Il codice seguente mostra lo schema che è necessario usare per pianificare le analisi in base ai requisiti indicati in precedenza.
- Aprire un editor di testo e usare questo esempio come guida per il file di analisi pianificato.
Per Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Salvare il file come
com.microsoft.wdav.mobileconfig.
Per JamF e altri MDM di terze parti
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Salvare il file come
com.microsoft.wdav.plist.Verificare che l'analisi pianificata sia configurata tramite "Imposta preferenza"
mdatp health --details scheduled_scanNei risultati dovrebbe essere possibile visualizzare [gestito].
Esempio 2: Pianificare un'analisi rapida oraria, un'analisi rapida giornaliera e un'analisi completa settimanale usando un elenco di elementi consentiti
Nell'esempio seguente viene eseguita un'analisi rapida oraria ogni 6 ore, una configurazione di analisi rapida giornaliera viene impostata per l'esecuzione a 885 minuti dopo mezzanotte (14:45) e un'analisi completa settimanale verrà eseguita il mercoledì alle 880 minuti dopo mezzanotte (14:40).
Per Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Salvare il file come
com.microsoft.wdav.mobileconfig.
Per JamF e altri MDM di terze parti
- Aprire un editor di testo e usare questo esempio.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Salvare il file come
com.microsoft.wdav.plist.Verificare che l'analisi pianificata sia configurata tramite "Imposta preferenza"
mdatp health --details scheduled_scanNei risultati dovrebbe essere possibile visualizzare [gestito].
Opzione 3: Configurare le analisi pianificate tramite lo strumento dell'interfaccia della riga di comando
Per abilitare la funzionalità di analisi pianificata:
| Versione | Comando |
|---|---|
| Versione 101.23122.x o successiva | sudo mdatp config scheduled-scan settings feature --value enabled |
Per pianificare analisi rapide orarie:
| Versione | Comando |
|---|---|
| Versione 101.23122.x o successiva | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Per pianificare le analisi rapide giornaliere:
| Versione | Comando |
|---|---|
| Versione 101.23122.x o successiva | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Per pianificare le analisi settimanali:
| Versione | Comando |
|---|---|
| Versione 101.23122.x o successiva | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Per altre opzioni di configurazione:
Per verificare la presenza di aggiornamenti delle definizioni prima delle analisi pianificate:
sudo mdatp config scheduled-scan settings check-for-definitions --value truePer usare i thread con priorità bassa per l'analisi pianificata:
sudo mdatp config scheduled-scan settings low-priority --value true
Verificare che l'analisi pianificata sia stata eseguita
Usare il comando seguente:
mdatp scan list
\<snip\>
Importante
Le analisi pianificate non vengono eseguite all'ora pianificata mentre il dispositivo è in stato di sospensione. Le analisi pianificate vengono invece eseguite quando il dispositivo riprende dalla modalità sospensione. Se il dispositivo è disattivato, l'analisi viene eseguita all'ora di analisi pianificata successiva.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.