Kom i gang med feilsøkingsmodus i Microsoft Defender for endepunkt

Gjelder for:

• Microsoft Defender for endepunkt
• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Feilsøkingsmodus i Microsoft Defender for endepunkt gjør det mulig for administratorer å feilsøke ulike Microsoft Defender antivirusfunksjoner, selv om enhetene administreres av organisasjonspolicyer. Hvis manipuleringsbeskyttelse for eksempel er aktivert, kan visse innstillinger ikke endres eller deaktiveres, men du kan bruke feilsøkingsmodus på en enhet til å redigere disse innstillingene midlertidig.

Feilsøkingsmodus er deaktivert som standard, og krever at du aktiverer den for en enhet (og/eller gruppe enheter) i en begrenset periode. Feilsøkingsmodus er utelukkende en funksjon som bare gjelder for virksomheter, og krever Microsoft Defender portaltilgang.

Tips

• I feilsøkingsmodus kan du bruke PowerShell-kommandoen Set-MPPreference -DisableTamperProtection $true på Windows-enheter.
• Hvis du vil kontrollere tilstanden til manipuleringsbeskyttelse, kan du bruke Get-MpComputerStatus PowerShell-cmdleten. Se etter IsTamperProtected eller RealTimeProtectionEnabledi listen over resultater. (Verdien sann betyr at manipuleringsbeskyttelse er aktivert.) .

Hva må du vite før du begynner?

I feilsøkingsmodus kan du bruke PowerShell-kommandoen Set-MPPreference -DisableTamperProtection $true eller, på klientoperativsystemer, Security Center-appen for midlertidig å deaktivere manipuleringsbeskyttelse på enheten og gjøre nødvendige konfigurasjonsendringer.

• Bruk feilsøkingsmodus til å deaktivere/endre innstillingen for manipuleringsbeskyttelse som skal utføres:

  • Microsoft Defender antivirusfunksjonell feilsøking /programkompatibilitet (falske positive programblokker).

• Lokale administratorer, med riktige tillatelser, kan endre konfigurasjoner på individuelle endepunkter som vanligvis er låst av policyen. Det kan være nyttig å ha en enhet i feilsøkingsmodus når du diagnostiserer Microsoft Defender antivirusytelse og kompatibilitetsscenarioer.

  • Lokale administratorer kan ikke deaktivere Microsoft Defender Antivirus, eller avinstallere det.

  • Lokale administratorer kan konfigurere alle andre sikkerhetsinnstillinger i Microsoft Defender Antivirus-programserien (for eksempel skybeskyttelse, manipuleringsbeskyttelse).

• Administratorer med tillatelsene Behandle sikkerhetsinnstillinger har tilgang til å aktivere feilsøkingsmodus.

• Microsoft Defender for endepunkt samler inn logger og undersøkelsesdata gjennom feilsøkingsprosessen.

  • Et øyeblikksbilde av MpPreference tas før feilsøkingsmodusen begynner.

  • Et nytt øyeblikksbilde tas like før feilsøkingsmodus utløper.

  • Driftslogger fra under feilsøkingsmodus samles også inn.

  • Logger og øyeblikksbilder samles inn og er tilgjengelige for en administrator for innsamling ved hjelp av funksjonen Samle inn undersøkelsespakke på enhetssiden. Microsoft fjerner ikke disse dataene fra enheten før en administrator har samlet dem inn.

• Administratorer kan også se gjennom endringene i innstillingene som finner sted under feilsøkingsmodus i Hendelsesliste på enhetssiden.

• Feilsøkingsmodus slås automatisk av etter å ha nådd utløpstiden (den varer i 4 timer). Etter utløpsdatoen blir alle policyadministrerte konfigurasjoner skrivebeskyttet på nytt og går tilbake til hvordan enheten ble konfigurert før du aktiverer feilsøkingsmodus.

• Det kan ta opptil 15 minutter fra når kommandoen sendes fra Microsoft Defender XDR til når den blir aktiv på enheten.

• Varsler sendes til brukeren når feilsøkingsmodusen starter og når feilsøkingsmodusen avsluttes. Det sendes også en advarsel for å indikere at feilsøkingsmodus snart avsluttes.

• Begynnelsen og slutten på feilsøkingsmodusen identifiseres på enhetstidslinjen på enhetssiden.

• Du kan spørre etter alle feilsøkingsmodushendelser i avansert jakt.

Obs!

Policybehandlingsendringer brukes på enheten når den aktivt er i feilsøkingsmodus. Endringene trer imidlertid ikke i kraft før feilsøkingsmodusen utløper. I tillegg brukes ikke Microsoft Defender antivirusplattformoppdateringer i feilsøkingsmodus. Plattformoppdateringer brukes når feilsøkingsmodus avsluttes med en Windows-oppdatering.

Forutsetninger

• En enhet som kjører Windows 10 (versjon 19044.1618 eller nyere), Windows 11, Windows Server 2019 eller Windows Server 2022.

  Semester/Redstone	OS-versjon	Utgivelse
  21H2/SV1	>=22000,593	KB5011563: Microsoft Update-katalog
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043.1620	KB5011543: Microsoft Update-katalog
  Windows Server 2022	>=20348.617	KB5011558: Microsoft Update-katalog
  Windows Server 2019 (RS5)	>=17763.2746	KB5011551: Microsoft Update-katalog

• Feilsøkingsmodus er også tilgjengelig for maskiner som kjører den moderne, enhetlige løsningen for Windows Server 2012 R2 og Windows Server 2016. Før du bruker feilsøkingsmodus, må du kontrollere at alle følgende komponenter er oppdatert:

  • Sense-versjon 10.8049.22439.1084 eller nyere (KB5005292: Microsoft Update Catalog)

  • Microsoft Defender Antivirus – plattform: 4.18.2207.7 eller nyere (KB4052623: Microsoft Update-katalog)

  • Microsoft Defender Antivirus – Motor: 1.1.19500.2 eller nyere (KB2267602: Microsoft Update-katalog)

• For at feilsøkingsmodus skal brukes, må Microsoft Defender for endepunkt være tenantregistrert og aktiv på enheten.

• Enheten må kjøre aktivt Microsoft Defender Antivirus, versjon 4.18.2203 eller nyere.

Aktiver feilsøkingsmodus

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og logg på.

2. Gå til enhetssiden/maskinsiden for enheten du vil slå på feilsøkingsmodus. Velg Aktiver feilsøkingsmodus. Du må ha tillatelsen Behandle sikkerhetsinnstillinger i Sikkerhetssenter for Microsoft Defender for endepunkt.

   

Obs!

Alternativet Aktiver feilsøkingsmodus er tilgjengelig på alle enheter, selv om enheten ikke oppfyller forutsetningene for feilsøkingsmodus.

3. Bekreft at du vil aktivere feilsøkingsmodus for enheten.

   

4. Enhetssiden viser at enheten nå er i feilsøkingsmodus.

   

Avanserte jaktspørringer

Her er noen forhåndsbygde avanserte jaktspørringer for å gi deg innsyn i feilsøkingshendelsene som forekommer i miljøet ditt. Du kan også bruke disse spørringene til å opprette gjenkjenningsregler for å generere varsler når enheter er i feilsøkingsmodus.

Få feilsøkingshendelser for en bestemt enhet

Søk etter deviceId eller deviceName ved å kommentere de respektive linjene.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Enheter som for øyeblikket er i feilsøkingsmodus

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Antall forekomster av feilsøkingsmodus etter enhet

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Totalt antall

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Relaterte artikler

Tips

Ytelsestips På grunn av en rekke faktorer kan Microsoft Defender Antivirus, som andre antivirusprogrammer, forårsake ytelsesproblemer på endepunktenheter. I noen tilfeller må du kanskje justere ytelsen til Microsoft Defender Antivirus for å unngå disse ytelsesproblemene. Microsofts ytelsesanalyse er et powershell-kommandolinjeverktøy som bidrar til å avgjøre hvilke filer, filbaner, prosesser og filtyper som kan forårsake ytelsesproblemer. noen eksempler er:

• De øverste banene som påvirker skannetiden
• Populære filer som påvirker skannetiden
• De viktigste prosessene som påvirker skannetiden
• De mest populære filtypene som påvirker skannetiden
• Kombinasjoner – for eksempel:
  • toppfiler per filtype
  • øverste baner per utvidelse
  • øverste prosesser per bane
  • toppskanninger per fil
  • toppskanninger per fil per prosess

Du kan bruke informasjonen som samles inn ved hjelp av Ytelsesanalyse, til å vurdere ytelsesproblemer bedre og bruke utbedringshandlinger. Se: Ytelsesanalyse for Microsoft Defender Antivirus.

• Feilsøking av modusscenarioer
• Beskytt sikkerhetsinnstillinger med manipuleringsbeskyttelse

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.