macOS でのMicrosoft Defender for Endpointのパフォーマンスに関する問題のトラブルシューティング

適用対象:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint プラン 1 とプラン 2
• 個人向けMicrosoft Defender

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事では、macOS 上の Defender for Endpoint に関連するパフォーマンスの問題を絞り込むために使用できる一般的な手順について説明します。

実行しているアプリケーションとデバイスの特性によっては、macOS でMicrosoft Defender for Endpointを実行するときに最適でないパフォーマンスが発生する可能性があります。 特に、短時間にわたって多くのリソースにアクセスするアプリケーションまたはシステム プロセスは、macOS 上の Defender for Endpoint のパフォーマンスの問題につながる可能性があります。

警告

この記事で説明されている手順を実行する前に、他のセキュリティ製品がデバイスで現在実行されていないことを確認してください。 複数のセキュリティ製品が競合し、ホストのパフォーマンスに影響を与える可能性があります。

リアルタイム保護統計を使用したパフォーマンスの問題のトラブルシューティング

適用対象:

• Microsoft Defenderウイルス対策 (wdavdaemon_unpriviliged) に関連するパフォーマンスの問題のみ。

リアルタイム保護 (RTP) は、macOS 上の Defender for Endpoint の機能であり、脅威からデバイスを継続的に監視および保護します。 ファイルとプロセスの監視とその他のヒューリスティックで構成されます。

前提条件:

• Microsoft Defender for Endpoint バージョン (プラットフォーム更新プログラム) 100.90.70 以降
• ブロック モードで 改ざん防止 を有効にしている場合は、 トラブルシューティング モードを 使用してリアルタイム保護統計をキャプチャします。 それ以外の場合は、null 結果が返されます。

このような問題のトラブルシューティングと軽減を行うには、次の手順に従います。

1. 次の表のいずれかの方法を使用してリアルタイム保護を無効にし、パフォーマンスが向上するかどうかを確認します。 この方法は、macOS 上のMicrosoft Defender for Endpointがパフォーマンスの問題に貢献しているかどうかを絞り込むのに役立ちます。

   デバイス管理	メソッド
   デバイスがorganizationによって管理されない	ユーザー インターフェイス: macOS でMicrosoft Defender for Endpointを開き、[設定の管理] に移動します。
   デバイスがorganizationによって管理されない	ターミナル: ターミナルで、次のコマンドを実行します。 mdatp config real-time-protection --value disabled
   デバイスは、organizationによって管理されます	macOS でのMicrosoft Defender for Endpointの設定に関するページを参照してください。

   リアルタイム保護がオフになっている間にパフォーマンスの問題が解決しない場合、問題の原因はエンドポイント検出と応答コンポーネントである可能性があります。 この場合は、詳細な手順と軽減策についてカスタマー サポートにお問い合わせください。

2. Finder を開き、[アプリケーション ユーティリティ]> に移動します。 アクティビティ モニターを開き、システム上のリソースを使用しているアプリケーションを分析します。 一般的な例としては、ソフトウェア アップデーターとコンパイラがあります。

3. この機能では、リアルタイム保護を有効にする必要があります。 リアルタイム保護の状態をチェックするには、次のコマンドを実行します。

   mdatp health --field real_time_protection_enabled
   

   real_time_protection_enabled エントリが true であることを確認します。 それ以外の場合は、次のコマンドを実行して有効にします。

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

4. ほとんどのスキャンをトリガーしているアプリケーションを見つけるには、macOS 上の Defender for Endpoint によって収集されたリアルタイム統計を使用できます。 次のコマンドを実行します。

   mdatp config real-time-protection-statistics --value enabled.
   

   この機能では、リアルタイム保護を有効にする必要があります。 リアルタイム保護の状態をチェックするには、次のコマンドを実行します。

   mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
   

   注:

   (二重ダッシュに注意してください) を使用すると --output json 、出力形式を解析する準備が整います。 このコマンドの出力には、すべてのプロセスとそれに関連するスキャン アクティビティが表示されます。

5. Mac システムで、 コマンドを使用してサンプル Python パーサー high_cpu_parser.py をダウンロードします。

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
   

   このコマンドの出力は、次のようになります。

   --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.
   mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
   Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
   Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 1020 [text/plain]
   Saving to: 'high_cpu_parser.py'
   100%[===========================================>] 1,020    --.-K/s   in
   0s
   

6. 次のコマンドを入力します。

   chmod +x high_cpu_parser.py
   

   cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
   

   出力は、パフォーマンスの問題に対する上位の共同作成者の一覧である必要があります。 最初の列はプロセス識別子 (PID)、2 番目の列はプロセス名、最後の列はスキャンされたファイルの数で、影響で並べ替えられます。 次に例を示します:

   ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
   27432 None 76703
   73467 actool     1249
   73914 xcodebuild 1081
   73873 bash 1050
   27475 None 836
   1    launchd    407
   73468 ibtool     344
   549  telemetryd_v1   325
   4764 None 228
   125  CrashPlanService 164
   

7. Mac 上の Defender for Endpoint のパフォーマンスを向上させるには、[ スキャンされたファイルの総数 ] 行の下に最も多い番号の 1 つを見つけて、除外を追加します。 詳細については、「 macOS での Defender for Endpoint の除外の構成と検証」を参照してください。

   注:

   アプリケーションは、統計をメモリに格納し、ファイル アクティビティが開始され、リアルタイム保護が有効になってからのみ追跡します。 リアルタイム保護がオフだった前または期間中に起動されたプロセスはカウントされません。 さらに、スキャンをトリガーしたイベントのみがカウントされます。

8. パフォーマンスの問題に影響するプロセスまたはディスクの場所を除外して macOS のMicrosoft Defender for Endpointを構成し、リアルタイム保護を再度有効にします。

   macOS でのMicrosoft Defender for Endpointの除外の構成と検証に関するページを参照してください。

Microsoft Defender for Endpoint Client Analyzer を使用したパフォーマンスの問題のトラブルシューティング

Microsoft Defender for Endpoint クライアント アナライザー (MDECA) は、macOS 上のオンボード デバイスのパフォーマンスの問題をトラブルシューティングするために、トレース、ログ、診断情報を収集できます。

パフォーマンスの問題のトラブルシューティングのためにクライアント アナライザーを実行するには、「 macOS と Linux でクライアント アナライザーを実行する」を参照してください。

注:

• Microsoft Defender for Endpoint クライアント アナライザー ツールは、(ただしこれに限定されません) IP アドレス、Microsoft Defender for Endpointで発生する可能性がある問題のトラブルシューティングに役立つ PC 名などの情報を収集するために、Microsoft カスタマー サポート サービス (CSS) によって定期的に使用されます。 プライバシーに関する声明の詳細については、「 Microsoft のプライバシーに関する声明」を参照してください。
• 一般的なベスト プラクティスとして、Microsoft Defender for Endpoint エージェントを最新の使用可能なバージョンに更新し、さらに調査する前に問題がまだ解決することを確認することをお勧めします。