次の方法で共有

macOS でのMicrosoft Defender for Endpointのトラブルシューティング モード

  • [アーティクル]

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事では、macOS のMicrosoft Defender for Endpointでトラブルシューティング モードを有効にして、組織のポリシーがデバイスを管理している場合でも、管理者がさまざまなMicrosoft Defenderウイルス対策機能を一時的にトラブルシューティングできるようにする方法について説明します。

たとえば、改ざん防止が有効になっている場合、特定の設定を変更またはオフにすることはできませんが、デバイスでトラブルシューティング モードを使用して一時的に設定を編集できます。

トラブルシューティング モードは既定で無効になっており、デバイス (またはデバイスのグループ) に対して一定期間有効にする必要があります。 トラブルシューティング モードはエンタープライズ専用の機能であり、ポータルMicrosoft Defenderアクセスする必要があります。

開始する前に知っておくべきこと

トラブルシューティング モードでは、次のことができます。

  • macOS 機能トラブルシューティング/アプリケーション互換性 (誤検知) でMicrosoft Defender for Endpointを使用します。

  • 適切なアクセス許可を持つローカル管理者は、個々のエンドポイントで次のポリシーロック構成を変更できます。

    設定 有効にする 無効化/削除
    Real-Time 保護/ パッシブ モード / オンデマンド mdatp config real-time-protection --value enabled mdatp config real-time-protection --value disabled
    ネットワーク保護 mdatp config network-protection enforcement-level --value block mdatp config network-protection enforcement-level --value disabled
    realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled mdatp config real-time-protection-statistics --value disabled
    tags mdatp edr tag set --name GROUP --value [name] mdatp edr tag remove --tag-name [name]
    groupIds mdatp edr group-ids --group-id [group]
    エンドポイント DLP mdatp config data_loss_prevention --value enabled mdatp config data_loss_prevention --value disabled

トラブルシューティング モードでは、次のことができます。

  • macOS でMicrosoft Defender for Endpointの改ざん防止を無効にします。
  • macOS でMicrosoft Defender for Endpointをアンインストールします。

前提条件

  • Microsoft Defender for Endpointでサポートされている macOS のバージョン。
  • Microsoft Defender for Endpointは、テナントに登録され、デバイス上でアクティブである必要があります。
  • Microsoft Defender for Endpointの "Security Center でセキュリティ設定を管理する" のアクセス許可。
  • プラットフォーム更新プログラムのバージョン: 101.23122.0005 以降。

macOS でトラブルシューティング モードを有効にする

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. トラブルシューティング モードを有効にするデバイス ページに移動します。 次に、省略記号 (...) を選択し、[ トラブルシューティング モードを有効にする] を選択します。

    mac のトラブルシューティング モードのスクリーンショットを表示するスクリーンショット。

    注:

    [ トラブルシューティング モードを有効にする ] オプションは、デバイスがトラブルシューティング モードの前提条件を満たしていない場合でも、すべてのデバイスで使用できます。

  3. ウィンドウに表示される情報を読み取り、準備ができたら、[ 送信] を選択して、そのデバイスのトラブルシューティング モードを有効にすることを確認します。

  4. 変更が有効なテキストが表示されるまで に数分かかる場合があります 。 この間、省略記号をもう一度選択すると、[ トラブルシューティング モードを有効にする] が [保留中] オプションが 淡色表示されます。

  5. 完了すると、デバイス ページに、デバイスがトラブルシューティング モードになったことが表示されます。

    エンド ユーザーが macOS デバイスにログインしている場合、次のテキストが表示されます。

    トラブルシューティング モードが開始されました。 このモードでは、管理者が管理する設定を一時的に変更できます。 YEAR-MM-DDTHH:MM:SSZ で有効期限が切れます。

    [OK] を選択します。

  6. 有効にすると、トラブルシューティング モード (TS モード) で切り替えられるさまざまなコマンド ライン オプションをテストできます。

    たとえば、コマンドを使用 mdatp config real-time-protection --value disabled してリアルタイム保護を無効にすると、パスワードの入力を求めるメッセージが表示されます。 パスワードを入力した後、[ OK] を選択します

    リアルタイム保護が無効になっているスクリーンショットを表示しているスクリーンショット。

    次のスクリーンショットのような出力レポートは、mdatp 正常性 real_time_protection_enabled の実行中に "false" と "block" tamper_protection として表示されます。

    mdatp 正常性の実行の出力レポートのスクリーンショットを表示するスクリショット。

検出のための高度なハンティング クエリ

事前構築済みの高度なハンティング クエリがいくつか用意されており、環境内で発生しているトラブルシューティング イベントを把握できます。 これらのクエリを使用して、デバイスがトラブルシューティング モードのときにアラートを生成する 検出ルールを作成 できます。

特定のデバイスのトラブルシューティング イベントを取得する

次のクエリを使用して、それぞれの行をコメントアウトするかdeviceNamedeviceId検索できます。

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

現在トラブルシューティング モードのデバイス

現在トラブルシューティング モードになっているデバイスは、次のクエリを使用して見つけることができます。

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

デバイス別のトラブルシューティング モード インスタンスの数

次のクエリを使用して、デバイスのトラブルシューティング モード インスタンスの数を確認できます。

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

総件数

次のクエリを使用して、トラブルシューティング モード インスタンスの合計数を把握できます。

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

推奨されるコンテンツ

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。