Introduzione alla modalità di risoluzione dei problemi in Microsoft Defender per endpoint

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

La modalità di risoluzione dei problemi in Microsoft Defender per endpoint consente agli amministratori di risolvere i problemi relativi a varie funzionalità di antivirus Microsoft Defender, anche se i dispositivi sono gestiti da criteri dell'organizzazione. Ad esempio, se la protezione da manomissione è abilitata, alcune impostazioni non possono essere modificate o disattivate, ma è possibile usare la modalità di risoluzione dei problemi in un dispositivo per modificare temporaneamente tali impostazioni.

La modalità di risoluzione dei problemi è disabilitata per impostazione predefinita e richiede l'attivazione per un dispositivo (e/o un gruppo di dispositivi) per un periodo di tempo limitato. La modalità di risoluzione dei problemi è esclusivamente una funzionalità solo aziendale e richiede Microsoft Defender accesso al portale.

Consiglio

  • Durante la modalità di risoluzione dei problemi, è possibile usare il comando Set-MPPreference -DisableTamperProtection $true PowerShell nei dispositivi Windows.
  • Per controllare lo stato di protezione dalle manomissioni, è possibile usare il cmdlet Di PowerShell Get-MpComputerStatus . Nell'elenco dei risultati cercare IsTamperProtected o RealTimeProtectionEnabled. Il valore true indica che la protezione da manomissione è abilitata. .

Che cosa è necessario sapere prima di iniziare?

Durante la modalità di risoluzione dei problemi, è possibile usare il comando Set-MPPreference -DisableTamperProtection $true di PowerShell o, nei sistemi operativi client, l'app Centro sicurezza per disabilitare temporaneamente la protezione da manomissioni nel dispositivo e apportare le modifiche di configurazione necessarie.

  • Usare la modalità di risoluzione dei problemi per disabilitare/modificare l'impostazione di protezione dalle manomissioni da eseguire:

    • Microsoft Defender Antivirus functional troubleshooting /application compatibility (blocchi di applicazioni false positive).

  • Gli amministratori locali, con le autorizzazioni appropriate, possono modificare le configurazioni nei singoli endpoint in genere bloccati dai criteri. La presenza di un dispositivo in modalità di risoluzione dei problemi può essere utile per diagnosticare Microsoft Defender scenari di compatibilità e prestazioni antivirus.

    • Gli amministratori locali non possono disattivare Microsoft Defender Antivirus o disinstallarlo.

    • Gli amministratori locali possono configurare tutte le altre impostazioni di sicurezza nella suite antivirus Microsoft Defender (ad esempio, protezione cloud, protezione dalle manomissioni).

  • Gli amministratori con autorizzazioni "Gestisci impostazioni di sicurezza" hanno accesso per attivare la modalità di risoluzione dei problemi.

  • Microsoft Defender per endpoint raccoglie i log e i dati di indagine durante il processo di risoluzione dei problemi.

    • Viene creato uno snapshot di prima dell'avvio della MpPreference modalità di risoluzione dei problemi.

    • Un secondo snapshot viene creato poco prima della scadenza della modalità di risoluzione dei problemi.

    • Vengono raccolti anche i log operativi da durante la modalità di risoluzione dei problemi.

    • I log e gli snapshot vengono raccolti e sono disponibili per la raccolta da parte di un amministratore tramite la funzionalità Raccogli pacchetto di indagine nella pagina del dispositivo. Microsoft non rimuove questi dati dal dispositivo fino a quando un amministratore non lo ha raccolto.

  • Gli amministratori possono anche esaminare le modifiche apportate alle impostazioni che si verificano durante la modalità di risoluzione dei problemi in Visualizzatore eventi nella pagina del dispositivo.

  • La modalità di risoluzione dei problemi si disattiva automaticamente dopo aver raggiunto l'ora di scadenza (dura 4 ore). Dopo la scadenza, tutte le configurazioni gestite dai criteri diventano nuovamente di sola lettura e tornano alla modalità di configurazione del dispositivo prima di abilitare la modalità di risoluzione dei problemi.

  • Potrebbero essere necessari fino a 15 minuti dal momento in cui il comando viene inviato da Microsoft Defender XDR a quando diventa attivo nel dispositivo.

  • Le notifiche vengono inviate all'utente all'avvio della modalità di risoluzione dei problemi e alla fine della modalità di risoluzione dei problemi. Viene inoltre inviato un avviso per indicare che la modalità di risoluzione dei problemi sta terminando a breve.

  • L'inizio e la fine della modalità di risoluzione dei problemi sono identificati nella sequenza temporale del dispositivo nella pagina del dispositivo.

  • È possibile eseguire query su tutti gli eventi della modalità di risoluzione dei problemi nella ricerca avanzata.

Nota

Le modifiche alla gestione dei criteri vengono applicate al dispositivo quando è attivamente in modalità di risoluzione dei problemi. Tuttavia, le modifiche non diventano effettive fino alla scadenza della modalità di risoluzione dei problemi. Inoltre, Microsoft Defender gli aggiornamenti della piattaforma antivirus non vengono applicati durante la modalità di risoluzione dei problemi. Gli aggiornamenti della piattaforma vengono applicati quando la modalità di risoluzione dei problemi termina con un aggiornamento di Windows.

Prerequisiti

  • Un dispositivo che esegue Windows 10 (versione 19044.1618 o successiva), Windows 11, Windows Server 2019 o Windows Server 2022.

    Semestre/Redstone Versione sistema operativo Rilascio
    21H2/SV1 >=22000.593 KB5011563: Microsoft Update Catalog
    20H1/20H2/21H1 >=19042.1620
    >=19041.1620
    >=19043.1620    		 KB5011543: Microsoft Update Catalog
    Windows Server 2022 >=20348.617 KB5011558: Microsoft Update Catalog
    Windows Server 2019 (RS5) >=17763.2746 KB5011551: Microsoft Update Catalog

  • La modalità di risoluzione dei problemi è disponibile anche per i computer che eseguono la soluzione unificata moderna per Windows Server 2012 R2 e Windows Server 2016. Prima di usare la modalità di risoluzione dei problemi, verificare che tutti i componenti seguenti siano aggiornati:

  • Per applicare la modalità di risoluzione dei problemi, Microsoft Defender per endpoint deve essere registrata dal tenant e attiva nel dispositivo.

  • Il dispositivo deve eseguire attivamente Microsoft Defender Antivirus, versione 4.18.2203 o successiva.

Abilitare la modalità di risoluzione dei problemi

  1. Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.

  2. Passare alla pagina del dispositivo/computer per il dispositivo che si vuole attivare la modalità di risoluzione dei problemi. Selezionare Attiva modalità di risoluzione dei problemi. È necessario disporre delle autorizzazioni "Gestisci impostazioni di sicurezza nel Centro sicurezza" per Microsoft Defender per endpoint.

    Attivare la modalità di risoluzione dei problemi

Nota

L'opzione Attiva modalità di risoluzione dei problemi è disponibile in tutti i dispositivi, anche se il dispositivo non soddisfa i prerequisiti per la modalità di risoluzione dei problemi.

  1. Verificare di voler attivare la modalità di risoluzione dei problemi per il dispositivo.

    Riquadro a comparsa di configurazione

  2. La pagina del dispositivo mostra che il dispositivo è ora in modalità di risoluzione dei problemi.

    Il dispositivo è ora in modalità di risoluzione dei problemi

Query di ricerca avanzate

Ecco alcune query di ricerca avanzate predefinite per offrire visibilità sugli eventi di risoluzione dei problemi che si verificano nell'ambiente. È anche possibile usare queste query per creare regole di rilevamento per generare avvisi quando i dispositivi sono in modalità di risoluzione dei problemi.

Ottenere gli eventi di risoluzione dei problemi per un dispositivo specifico

Eseguire la ricerca in base a deviceId o deviceName commentando le rispettive righe.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivi attualmente in modalità di risoluzione dei problemi

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Numero di istanze della modalità di risoluzione dei problemi per dispositivo

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Conteggio totale

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Consiglio

Suggerimento per le prestazioni A causa di una varietà di fattori, Microsoft Defender Antivirus, come altri software antivirus, può causare problemi di prestazioni nei dispositivi endpoint. In alcuni casi, potrebbe essere necessario ottimizzare le prestazioni di Microsoft Defender Antivirus per ridurre tali problemi di prestazioni. Analizzatore prestazioni di Microsoft è uno strumento da riga di comando di PowerShell che consente di determinare quali file, percorsi di file, processi ed estensioni di file potrebbero causare problemi di prestazioni; Alcuni esempi sono:

  • Percorsi principali che influiscono sul tempo di analisi
  • File principali che influiscono sul tempo di analisi
  • Principali processi che influiscono sul tempo di analisi
  • Principali estensioni di file che influiscono sul tempo di analisi
  • Combinazioni, ad esempio:
    • file principali per estensione
    • percorsi principali per estensione
    • processi principali per percorso
    • analisi principali per file
    • analisi principali per file per processo

È possibile usare le informazioni raccolte tramite Analizzatore prestazioni per valutare meglio i problemi di prestazioni e applicare azioni correttive. Vedere: Analizzatore prestazioni per Microsoft Defender Antivirus.

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.