macOS での Microsoft Defender for Endpoint のパフォーマンスに関する問題のトラブルシューティング
適用対象:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint プラン 1 とプラン 2
- Microsoft Defender for Individuals
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
この記事では、macOS 上の Defender for Endpoint に関連するパフォーマンスの問題を絞り込むために使用できる一般的な手順について説明します。
実行しているアプリケーションとデバイスの特性によっては、macOS で Microsoft Defender for Endpoint を実行するときに最適でないパフォーマンスが発生する可能性があります。 特に、短時間にわたって多くのリソースにアクセスするアプリケーションまたはシステム プロセスは、macOS 上の Defender for Endpoint のパフォーマンスの問題につながる可能性があります。
警告
この記事で説明されている手順を実行する前に、他のセキュリティ製品がデバイスで現在実行されていないことを確認してください。 複数のセキュリティ製品が競合し、ホストのパフォーマンスに影響を与える可能性があります。
リアルタイム保護統計を使用したパフォーマンスの問題のトラブルシューティング
適用対象:
- Microsoft Defender ウイルス対策 (
wdavdaemon_unprivileged
) に関連するパフォーマンスの問題のみ。
リアルタイム保護 (RTP) は、macOS 上の Defender for Endpoint の機能であり、脅威からデバイスを継続的に監視および保護します。 ファイルとプロセスの監視とその他のヒューリスティックで構成されます。
前提条件:
- Microsoft Defender for Endpoint バージョン (プラットフォーム更新プログラム) 100.90.70 以降
- ブロック モードで 改ざん防止 を有効にしている場合は、 トラブルシューティング モードを 使用してリアルタイム保護統計をキャプチャします。 それ以外の場合は、null 結果が返されます。
ヒント
一般的なベスト プラクティスとして、 Microsoft Defender for Endpoint エージェントを利用可能な最新バージョンに 更新し、さらに調査する前に問題がまだ解決することを確認することをお勧めします。
パフォーマンスの問題のトラブルシューティングと軽減を行うには、次の手順に従います。
次の表のいずれかの方法を使用してリアルタイム保護を無効にし、パフォーマンスが向上するかどうかを確認します。 この方法は、macOS 上の Microsoft Defender for Endpoint がパフォーマンスの問題に貢献しているかどうかを絞り込むのに役立ちます。
デバイス管理 メソッド デバイスが組織によって管理されていない ユーザー インターフェイス: macOS で Microsoft Defender for Endpoint を開き、[ 設定の管理] に移動します。 デバイスが組織によって管理されていない ターミナル: ターミナルで、次のコマンドを実行します。 mdatp config real-time-protection --value disabled
デバイスは組織によって管理されます 「macOS で Microsoft Defender for Endpoint の基本設定を設定する」を参照してください。 リアルタイム保護がオフになっている間にパフォーマンスの問題が解決しない場合、問題の原因はエンドポイント検出と応答コンポーネントである可能性があります。 この場合は、詳細な手順と軽減策についてカスタマー サポートにお問い合わせください。
Finder を開き、[アプリケーション ユーティリティ]> に移動します。 アクティビティ モニターを開き、システム上のリソースを使用しているアプリケーションを分析します。 一般的な例としては、ソフトウェア アップデーターとコンパイラがあります。
この機能では、リアルタイム保護を有効にする必要があります。 リアルタイム保護の状態を確認するには、次のコマンドを実行します。
mdatp health --field real_time_protection_enabled
real_time_protection_enabled エントリが true であることを確認します。 それ以外の場合は、次のコマンドを実行して有効にします。
mdatp config real-time-protection --value enabled
Configuration property updated
ほとんどのスキャンをトリガーしているアプリケーションを見つけるには、macOS 上の Defender for Endpoint によって収集されたリアルタイム統計を使用できます。 次のコマンドを実行して有効にします。
mdatp config real-time-protection-statistics --value enabled
ヒント
データのキャプチャに進む前に、 を実行するか、 を開
activity monitor
いて、wdavdaemon_unprivilegedで高い CPU 使用率が発生していることを確認します。json ファイルに出力するには、次のコマンドを実行します。
mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
注:
(二重ダッシュに注意してください) を使用すると
--output json
、出力形式を解析する準備が整います。 このコマンドの出力には、すべてのプロセスとそれに関連するスキャン アクティビティが表示されます。Mac システムで、 コマンドを使用してサンプル Python パーサー
high_cpu_parser.py
をダウンロードします。curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
このコマンドの出力は、次のようになります。
--2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft. mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected. HTTP request sent, awaiting response... 200 OK Length: 1020 [text/plain] Saving to: 'high_cpu_parser.py' 100%[===========================================>] 1,020 --.-K/s in 0s
次のコマンドを入力します。
chmod +x high_cpu_parser.py
cat real_time_protection.json | python high_cpu_parser.py > real_time_protection.log
出力は、パフォーマンスの問題に対する上位の共同作成者の一覧である必要があります。 最初の列はプロセス識別子 (PID)、2 番目の列はプロセス名、最後の列はスキャンされたファイルの数で、影響で並べ替えられます。 次に例を示します:
... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10 27432 None 76703 73467 actool 1249 73914 xcodebuild 1081 73873 bash 1050 27475 None 836 1 launchd 407 73468 ibtool 344 549 telemetryd_v1 325 4764 None 228 125 CrashPlanService 164
Mac 上の Defender for Endpoint のパフォーマンスを向上させるには、[ スキャンされたファイルの総数 ] 行の下に最も多い番号の 1 つを見つけて、除外を追加します。 詳細については、「 macOS での Defender for Endpoint の除外の構成と検証」を参照してください。
注:
アプリケーションは、統計をメモリに格納し、ファイル アクティビティが開始され、リアルタイム保護が有効になってからのみ追跡します。 リアルタイム保護がオフだった前または期間中に起動されたプロセスはカウントされません。 さらに、スキャンをトリガーしたイベントのみがカウントされます。
パフォーマンスの問題に影響するプロセスまたはディスクの場所を除外して、macOS 上の Microsoft Defender for Endpoint を構成し、リアルタイム保護を再度有効にします。
「macOS での Microsoft Defender for Endpoint の除外の構成と検証」を参照してください。
Microsoft Defender for Endpoint Client Analyzer を使用したパフォーマンスの問題のトラブルシューティング
Microsoft Defender for Endpoint Client Analyzer (MDECA) は、macOS 上の オンボード デバイス のパフォーマンスの問題をトラブルシューティングするために、トレース、ログ、診断情報を収集できます。
パフォーマンスの問題のトラブルシューティングのためにクライアント アナライザーを実行するには、「 macOS と Linux でクライアント アナライザーを実行する」を参照してください。
注:
Microsoft Defender for Endpoint Client Analyzer ツールは、Microsoft カスタマー サポート サービス (CSS) によって定期的に使用され、(ただしこれに限定されません) IP アドレス、Microsoft Defender for Endpoint で発生している可能性がある問題のトラブルシューティングに役立つ PC 名などの情報を収集します。 プライバシーに関する声明の詳細については、「 Microsoft のプライバシーに関する声明」を参照してください。