Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in macOS

  • Articolo

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Questo articolo fornisce alcuni passaggi generali che possono essere usati per limitare i problemi di prestazioni correlati a Defender per endpoint in macOS.

A seconda delle applicazioni in esecuzione e delle caratteristiche del dispositivo, è possibile che si verifichino prestazioni non ottimali durante l'esecuzione di Microsoft Defender per endpoint in macOS. In particolare, le applicazioni o i processi di sistema che accedono a molte risorse in un breve intervallo di tempo possono causare problemi di prestazioni in Defender per endpoint in macOS.

Avviso

Prima di eseguire le procedure descritte in questo articolo, assicurarsi che altri prodotti di sicurezza non siano attualmente in esecuzione nel dispositivo. Più prodotti di sicurezza possono entrare in conflitto e influire sulle prestazioni dell'host.

Risolvere i problemi di prestazioni usando statistiche di protezione in tempo reale

Si applica a:

  • Solo i problemi di prestazioni correlati all'antivirus Microsoft Defender (wdavdaemon_unpriviliged).

La protezione in tempo reale (RTP) è una funzionalità di Defender per endpoint in macOS che monitora e protegge continuamente il dispositivo dalle minacce. È costituito dal monitoraggio di file e processi e da altre euristiche.

Prerequisiti:

  • versione Microsoft Defender per endpoint (Aggiornamento piattaforma) 100.90.70 o successiva
  • Se la protezione antimanomissione è attivata in modalità blocco, usare la modalità risoluzione dei problemi per acquisire statistiche di protezione in tempo reale. In caso contrario, si otterranno risultati Null.

Per risolvere e attenuare tali problemi, seguire questa procedura:

  1. Disabilitare la protezione in tempo reale usando uno dei metodi nella tabella seguente e quindi osservare se le prestazioni migliorano. Questo approccio consente di limitare se Microsoft Defender per endpoint in macOS contribuisce ai problemi di prestazioni.

    Gestione dei dispositivi Metodo
    Il dispositivo non è gestito dall'organizzazione Interfaccia utente: aprire Microsoft Defender per endpoint in macOS e passare a Gestisci impostazioni.
    Il dispositivo non è gestito dall'organizzazione Terminale: in Terminale eseguire il comando seguente: mdatp config real-time-protection --value disabled
    Il dispositivo è gestito dall'organizzazione Vedere Impostare le preferenze per Microsoft Defender per endpoint in macOS.

    Se il problema di prestazioni persiste mentre la protezione in tempo reale è disattivata, l'origine del problema potrebbe essere il componente di rilevamento e risposta degli endpoint. In questo caso, contattare il supporto tecnico per ulteriori istruzioni e mitigazione.

  2. Aprire Finder e passare a Utilità applicazioni>. Aprire Monitoraggio attività e analizzare le applicazioni che usano le risorse nel sistema. Gli esempi tipici includono gli aggiornamenti software e i compilatori.

  3. Questa funzionalità richiede l'abilitazione della protezione in tempo reale. Per controllare lo stato della protezione in tempo reale, eseguire il comando seguente:

    mdatp health --field real_time_protection_enabled

    Verificare che la voce real_time_protection_enabled sia true. In caso contrario, eseguire il comando seguente per abilitarlo:

    mdatp config real-time-protection --value enabled

    Configuration property updated

  4. Per trovare le applicazioni che attivano il maggior numero di analisi, è possibile usare le statistiche in tempo reale raccolte da Defender per endpoint in macOS. Eseguire il comando riportato di seguito:

    mdatp config real-time-protection-statistics --value enabled.

    Questa funzionalità richiede l'abilitazione della protezione in tempo reale. Per controllare lo stato della protezione in tempo reale, eseguire il comando seguente:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json

    Nota

    L'uso --output json di (si noti il doppio trattino) garantisce che il formato di output sia pronto per l'analisi. L'output di questo comando mostrerà tutti i processi e l'attività di analisi associata.

  5. Nel sistema Mac scaricare il parser high_cpu_parser.py Python di esempio usando il comando :

    curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py

    L'output di questo comando deve essere simile al seguente:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.
mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1020 [text/plain]
Saving to: 'high_cpu_parser.py'
100%[===========================================>] 1,020    --.-K/s   in
0s

  6. Digitare i comandi seguenti:

    chmod +x high_cpu_parser.py

    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log

    L'output deve essere un elenco dei principali collaboratori ai problemi di prestazioni. La prima colonna è l'identificatore di processo (PID), la seconda colonna è il nome del processo e l'ultima colonna è il numero di file analizzati, ordinati in base all'impatto. Ecco un esempio:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
27432 None 76703
73467 actool     1249
73914 xcodebuild 1081
73873 bash 1050
27475 None 836
1    launchd    407
73468 ibtool     344
549  telemetryd_v1   325
4764 None 228
125  CrashPlanService 164

  7. Per migliorare le prestazioni di Defender per endpoint su Mac, individuare quello con il numero più alto nella riga Totale file analizzati e quindi aggiungervi un'esclusione. Per altre informazioni, vedere Configurare e convalidare le esclusioni per Defender per endpoint in macOS.

    Nota

    L'applicazione archivia le statistiche in memoria e tiene traccia solo dell'attività dei file dall'avvio e la protezione in tempo reale è stata abilitata. I processi avviati prima o durante i periodi in cui la protezione in tempo reale era disattivata non vengono conteggiati. Vengono inoltre conteggiati solo gli eventi che hanno attivato le analisi.

  8. Configurare Microsoft Defender per endpoint in macOS con esclusioni per i processi o le posizioni del disco che contribuiscono ai problemi di prestazioni e riabilitare la protezione in tempo reale.

    Vedere Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in macOS.

Risolvere i problemi di prestazioni usando Microsoft Defender per endpoint Analizzatore client

L'analizzatore client Microsoft Defender per endpoint (MDECA) può raccogliere tracce, log e informazioni di diagnostica per risolvere i problemi di prestazioni nei dispositivi caricati in macOS.

Per eseguire l'analizzatore client per la risoluzione dei problemi di prestazioni, vedere Eseguire l'analizzatore client in macOS e Linux.

Nota

  • Lo strumento analizzatore client Microsoft Defender per endpoint viene usato regolarmente dal Servizio Supporto Tecnico Clienti Microsoft (CSS) per raccogliere informazioni quali indirizzi IP (ma non solo), nomi di PC che consentono di risolvere i problemi che potrebbero verificarsi con Microsoft Defender per endpoint. Per altre informazioni sull'informativa sulla privacy, vedere Informativa sulla privacy di Microsoft.
  • Come procedura consigliata generale, è consigliabile aggiornare l'agente Microsoft Defender per endpoint alla versione più recente disponibile e confermare che il problema persiste ancora prima di analizzare ulteriormente.