リソース
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
診断情報を収集する
問題を再現できる場合は、まずログ レベルを上げ、しばらくシステムを実行してから、ログ レベルを既定に復元します。
ログ 記録レベルを上げる:
mdatp log level set --level debugLog level configured successfully問題を再現します。
次のコマンドを実行して、Defender for Endpoint のログをバックアップします。 ファイルは、.zip アーカイブ内に格納されます。
sudo mdatp diagnostic createこのコマンドは、操作が成功した後もバックアップへのファイル パスを出力します。
Diagnostic file created: <path to file>ログ レベルの復元:
mdatp log level set --level infoLog level configured successfully
インストールの問題をログする
インストール中にエラーが発生した場合、インストーラーは一般的なエラーのみを報告します。
詳細なログは、 /var/log/microsoft/mdatp/install.logに保存されます。
インストール中に問題が発生した場合は、このファイルを送信して原因の診断に役立ててください。
Linux 上の Defender for Endpoint をアンインストールする
Linux 上の Defender for Endpoint をアンインストールするには、いくつかの方法があります。 Puppet などの構成ツールを使用している場合は、構成ツールのパッケージのアンインストール手順に従います。
手動アンインストール
-
sudo yum remove mdatpRHEL とバリアント (CentOS および Oracle Linux) の場合。 -
sudo zypper remove mdatpSLES とバリアントの場合。 -
sudo apt-get purge mdatpUbuntu および Debian システムの場合。 -
sudo dnf remove mdatpマリナー用
コマンド ラインから構成する
製品設定の制御やオンデマンド スキャンのトリガーなどの重要なタスクは、コマンド ラインから実行できます。
グローバル オプション
既定では、コマンド ライン ツールは人間が判読できる形式で結果を出力します。 さらに、このツールでは、結果を JSON として出力することもサポートされています。これは自動化シナリオに役立ちます。 出力を JSON に変更するには、次のいずれかのコマンドに --output json を渡します。
サポート対象コマンド
次の表に、最も一般的なシナリオの一部のコマンドを示します。 ターミナルから mdatp help を実行して、サポートされているコマンドの完全な一覧を表示します。
| グループ | シナリオ | command |
|---|---|---|
| 構成 | リアルタイム保護のオン/オフを切り替える | mdatp config real-time-protection --value [enabled\|disabled] |
| 構成 | 動作監視のオン/オフを切り替える | mdatp config behavior-monitoring --value [enabled\|disabled] |
| 構成 | クラウド保護のオン/オフを切り替える | mdatp config cloud --value [enabled\|disabled] |
| 構成 | 製品診断のオン/オフを切り替える | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| 構成 | 自動サンプル送信のオン/オフを切り替える | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| 構成 | AV パッシブ モードのオン/オフを切り替える | mdatp config passive-mode --value [enabled\|disabled] |
| 構成 | ファイル拡張子のウイルス対策除外を追加/削除する | mdatp exclusion extension [add\|remove] --name [extension] |
| 構成 | ファイルのウイルス対策除外を追加/削除する | mdatp exclusion file [add\|remove] --path [path-to-file] |
| 構成 | ディレクトリのウイルス対策の除外を追加/削除する | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| 構成 | プロセスのウイルス対策除外を追加/削除する | mdatp exclusion process [add\|remove] --path [path-to-process] |
| 構成 | ファイルのグローバル除外を追加または削除する | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| 構成 | ディレクトリのグローバル除外を追加または削除する | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| 構成 | プロセスのグローバル除外を追加または削除する | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| 構成 | すべてのウイルス対策の除外を一覧表示する | mdatp exclusion list |
| 構成 | 許可リストに脅威名を追加する | mdatp threat allowed add --name [threat-name] |
| 構成 | 許可されたリストから脅威名を削除する | mdatp threat allowed remove --name [threat-name] |
| 構成 | 許可されているすべての脅威名を一覧表示する | mdatp threat allowed list |
| 構成 | PUA 保護を有効にする | mdatp threat policy set --type potentially_unwanted_application --action block |
| 構成 | PUA 保護をオフにする | mdatp threat policy set --type potentially_unwanted_application --action off |
| 構成 | PUA 保護の監査モードを有効にする | mdatp threat policy set --type potentially_unwanted_application --action audit |
| 構成 | オンデマンド スキャンの並列処理の程度を構成する | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 構成 | セキュリティ インテリジェンスの更新後にスキャンをオンまたはオフにする | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 構成 | アーカイブ スキャンのオン/オフを切り替える (オンデマンド スキャンのみ) | mdatp config scan-archives --value [enabled/disabled] |
| 構成 | ファイル ハッシュ計算のオン/オフを切り替える | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 診断 | ログ レベルを変更する | mdatp log level set --level verbose [error|warning|info|verbose] |
| 診断 | 診断ログを生成する | mdatp diagnostic create --path [directory] |
| 診断 | 保持される製品ログのサイズ制限 | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| 正常性 | 製品の正常性を確認する | mdatp health |
| 保護 | パスをスキャンする | mdatp scan custom --path [path] [--ignore-exclusions] |
| 保護 | クイック スキャンを実行する | mdatp scan quick |
| 保護 | フル スキャンを実行する | mdatp scan full |
| 保護 | 進行中のオンデマンド スキャンを取り消す | mdatp scan cancel |
| 保護 | セキュリティ インテリジェンスの更新プログラムを要求する | mdatp definitions update |
| 保護 | セキュリティ インテリジェンスを元の既定のセットにロールバックする | mdatp definitions restore |
| 保護の履歴 | 完全な保護履歴を印刷する | mdatp threat list |
| 保護の履歴 | 脅威の詳細を取得する | mdatp threat get --id [threat-id] |
| 検疫管理 | 検疫されたすべてのファイルを一覧表示する | mdatp threat quarantine list |
| 検疫管理 | 検疫からすべてのファイルを削除する | mdatp threat quarantine remove-all |
| 検疫管理 | 脅威として検出されたファイルを検疫に追加する | mdatp threat quarantine add --id [threat-id] |
| 検疫管理 | 脅威として検出されたファイルを検疫から削除する | mdatp threat quarantine remove --id [threat-id] |
| 検疫管理 | 検疫からファイルを復元します。 101.23092.0012 より低い Defender for Endpoint バージョンで使用できます。 | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 検疫管理 | 脅威 ID を使用して検疫からファイルを復元します。 Defender for Endpoint バージョン 101.23092.0012 以降で使用できます。 | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 検疫管理 | 脅威の元のパスを使用して検疫からファイルを復元します。 Defender for Endpoint バージョン 101.23092.0012 以降で使用できます。 | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| エンドポイントの検出と対応 | 早期プレビューを設定する | mdatp edr early-preview [enabled\|disabled] |
| エンドポイントの検出と対応 | group-id を設定する | mdatp edr group-ids --group-id [group-id] |
| エンドポイントの検出と対応 | タグの設定/削除(サポートされている GROUP のみ) |
mdatp edr tag set --name GROUP --value [tag] |
| エンドポイントの検出と対応 | 除外の一覧表示 (ルート) | mdatp edr exclusion list [processes|paths|extensions|all] |
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。