適用対象:
- サーバーのMicrosoft Defender for Endpoint
- サーバープラン 1 またはプラン 2 のMicrosoft Defender
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
この記事では、問題を解決したり、Linux でMicrosoft Defender for Endpointを構成したりするためのリソースを提供します。 この記事では、診断情報を収集し、インストールの問題をログに記録し、コマンド ラインを使用して Defender for Endpoint on Linux を構成する方法について説明します。 この記事では、Linux 上の Defender for Endpoint をアンインストールする方法についても説明します。
診断情報を収集する
ヒント
Defender for Endpoint クライアント アナライザーをライブ応答で実行するか、デバイス上でローカルに実行して、Defender for Endpoint on Linux から診断情報を収集します。
問題を再現できる場合は、まずログ レベルを上げ、しばらくシステムを実行してから、ログ レベルを既定に復元します。
ログ 記録レベルを上げる:
mdatp log level set --level debugLog level configured successfully問題を再現します。
次のコマンドを実行して、Defender for Endpoint のログをバックアップします。 ファイルは、.zip アーカイブ内に格納されます。
sudo mdatp diagnostic createこのコマンドは、操作が成功した後もバックアップへのファイル パスを出力します。
Diagnostic file created: <path to file>ログ レベルの復元:
mdatp log level set --level infoLog level configured successfully
インストールの問題をログする
インストール中にエラーが発生した場合、インストーラーは一般的なエラーのみを報告します。
詳細なログは、 /var/log/microsoft/mdatp/install.logに保存されます。
インストール中に問題が発生した場合は、このファイルを送信して原因の診断に役立ててください。
コマンド ラインから構成する
製品設定の制御やオンデマンド スキャンのトリガーなどの重要なタスクは、コマンド ラインから実行できます。
グローバル オプション
既定では、コマンド ライン ツールは人間が判読できる形式で結果を出力します。 さらに、このツールでは、結果を JSON として出力することもサポートされています。これは自動化シナリオに役立ちます。 出力を JSON に変更するには、次のいずれかのコマンドに --output json を渡します。
サポート対象コマンド
次の表に、最も一般的なシナリオの一部のコマンドを示します。 ターミナルから mdatp help を実行して、サポートされているコマンドの完全な一覧を表示します。
| グループ | シナリオ | コマンド |
|---|---|---|
| 構成 | リアルタイム保護のオン/オフを切り替える | mdatp config real-time-protection --value [enabled\|disabled] |
| 構成 | 動作監視のオン/オフを切り替える | mdatp config behavior-monitoring --value [enabled\|disabled] |
| 構成 | クラウド保護のオン/オフを切り替える | mdatp config cloud --value [enabled\|disabled] |
| 構成 | 製品診断のオン/オフを切り替える | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| 構成 | 自動サンプル送信のオン/オフを切り替える | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| 構成 | ウイルス対策パッシブ モードのオン/オフを切り替える | mdatp config passive-mode --value [enabled\|disabled] |
| 構成 | ファイル拡張子のウイルス対策除外を追加/削除する | mdatp exclusion extension [add\|remove] --name [extension] |
| 構成 | ファイルのウイルス対策除外を追加/削除する | mdatp exclusion file [add\|remove] --path [path-to-file] |
| 構成 | ディレクトリのウイルス対策の除外を追加/削除する | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| 構成 | プロセスのウイルス対策除外を追加/削除する | mdatp exclusion process [add\|remove] --path [path-to-process] |
| 構成 | ファイルのグローバル除外を追加または削除する | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| 構成 | ディレクトリのグローバル除外を追加または削除する | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| 構成 | プロセスのグローバル除外を追加または削除する | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| 構成 | すべてのウイルス対策の除外を一覧表示する | mdatp exclusion list |
| 構成 | 許可リストに脅威名を追加する | mdatp threat allowed add --name [threat-name] |
| 構成 | 許可されたリストから脅威名を削除する | mdatp threat allowed remove --name [threat-name] |
| 構成 | 許可されているすべての脅威名を一覧表示する | mdatp threat allowed list |
| 構成 | PUA 保護を有効にする | mdatp threat policy set --type potentially_unwanted_application --action block |
| 構成 | PUA 保護をオフにする | mdatp threat policy set --type potentially_unwanted_application --action off |
| 構成 | PUA 保護の監査モードを有効にする | mdatp threat policy set --type potentially_unwanted_application --action audit |
| 構成 | オンデマンド スキャンの並列処理の程度を構成する | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 構成 | セキュリティ インテリジェンスの更新後にスキャンをオンまたはオフにする | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 構成 | アーカイブ スキャンのオン/オフを切り替える (オンデマンド スキャンのみ) | mdatp config scan-archives --value [enabled/disabled] |
| 構成 | ファイル ハッシュ計算のオン/オフを切り替える | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 診断 | ログ レベルを変更する | mdatp log level set --level verbose [error|warning|info|verbose] |
| 診断 | 診断ログを生成する | mdatp diagnostic create --path [directory] |
| 診断 | 保持される製品ログのサイズ制限 | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| 正常性 | 製品の正常性を確認する | mdatp health |
| 保護 | パスをスキャンする | mdatp scan custom --path [path] [--ignore-exclusions] |
| 保護 | クイック スキャンを実行する | mdatp scan quick |
| 保護 | フル スキャンを実行する | mdatp scan full |
| 保護 | 進行中のオンデマンド スキャンを取り消す | mdatp scan cancel |
| 保護 | セキュリティ インテリジェンスの更新プログラムを要求する | mdatp definitions update |
| 保護 | セキュリティ インテリジェンスを元の既定のセットにロールバックする | mdatp definitions restore |
| 保護の履歴 | 完全な保護履歴を印刷する | mdatp threat list |
| 保護の履歴 | 脅威の詳細を取得する | mdatp threat get --id [threat-id] |
| 検疫管理 | 検疫されたすべてのファイルを一覧表示する | mdatp threat quarantine list |
| 検疫管理 | 検疫からすべてのファイルを削除する | mdatp threat quarantine remove-all |
| 検疫管理 | 脅威として検出されたファイルを検疫に追加する | mdatp threat quarantine add --id [threat-id] |
| 検疫管理 | 脅威として検出されたファイルを検疫から削除する | mdatp threat quarantine remove --id [threat-id] |
| 検疫管理 | 検疫からファイルを復元します。
101.23092.0012より前のバージョンの Defender for Endpoint で使用できます。 |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 検疫管理 | 脅威 ID を使用して検疫からファイルを復元します。 Defender for Endpoint バージョン 101.23092.0012 以降で使用できます。 |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 検疫管理 | 脅威の元のパスを使用して検疫からファイルを復元します。 Defender for Endpoint バージョン 101.23092.0012 以降で使用できます。 |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| エンドポイントの検出と対応 | 早期プレビューを設定する | mdatp edr early-preview [enabled\|disabled] |
| エンドポイントの検出と対応 | group-id を設定する | mdatp edr group-ids --group-id [group-id] |
| エンドポイントの検出と対応 | タグの設定/削除(サポートされている GROUP のみ) |
mdatp edr tag set --name GROUP --value [tag] |
| エンドポイントの検出と対応 | 除外の一覧表示 (ルート) | mdatp edr exclusion list [processes|paths|extensions|all] |
Linux 上の Defender for Endpoint をアンインストールする
Linux 上の Defender for Endpoint をアンインストールするには、いくつかの方法があります。 Puppet などの構成ツールを使用している場合は、構成ツールのパッケージのアンインストール手順に従います。
Offboard Linux デバイス
使用停止されたデバイスがデバイス インベントリに表示されないようにし、より正確なセキュリティ スコア評価を確保するには、Defender for Endpoint からオフボードするデバイスにデバイス タグを追加します。 それ以外の場合は、デバイス インベントリに 180 日間それらの デバイス が表示されます。
デバイス タグを作成し、タグに
decommissionedという名前を付けます。 Defender for Endpoint からオフボードする Linux デバイスにタグを割り当てます。デバイス グループを作成し、
Decommissioned Linuxのような名前を付けます。 このタグを適切なユーザー グループに割り当てます。Microsoft Defender ポータルのナビゲーション ウィンドウで、[設定>Offboard] を選択します。 [ オフボード プロセスを開始するオペレーティング システムの選択] で、[ Linux Server] を選択し、デプロイ方法を選択します。
![Microsoft Defender ポータルの [オフボード] ページを示すスクリーンショット。](media/offboard-linux.png)
または、Microsoft 以外のデバイス管理ソリューションを使用している場合は、Defender for Endpoint との統合を無効にします。
デバイス上の Defender for Endpoint をアンインストールします。
手動アンインストール
-
sudo yum remove mdatpRHEL とバリアント (CentOS および Oracle Linux) の場合。 -
sudo zypper remove mdatpSLES とバリアントの場合。 -
sudo apt-get purge mdatpUbuntu および Debian システムの場合。 -
sudo dnf remove mdatpマリナー用。
関連コンテンツ
- Linux 用 Microsoft Defender for Endpoint
- Linux でのMicrosoft Defender for Endpointの前提条件
- Linux 上のMicrosoft Defender for Endpointでセキュリティ設定を構成する
- Linux でクライアント アナライザーを実行する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。