Probleemoplossingsmodus in Microsoft Defender voor Eindpunt in macOS

Artikel
04/26/2024

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In dit artikel wordt beschreven hoe u de probleemoplossingsmodus inschakelt in Microsoft Defender voor Eindpunt op macOS, zodat beheerders tijdelijk problemen kunnen oplossen met verschillende Microsoft Defender Antivirus-functies, zelfs als het bedrijfsbeleid de apparaten beheert.

Als de manipulatiebeveiliging bijvoorbeeld is ingeschakeld, kunnen bepaalde instellingen niet worden gewijzigd of uitgeschakeld, maar kunt u de probleemoplossingsmodus op het apparaat gebruiken om deze instellingen tijdelijk te bewerken.

De probleemoplossingsmodus is standaard uitgeschakeld en vereist dat u deze gedurende een beperkte tijd inschakelt voor een apparaat (en/of groep apparaten). De probleemoplossingsmodus is uitsluitend een functie voor ondernemingen en vereist toegang tot Microsoft Defender portal.

Wat moet u weten voordat u begint

Tijdens de probleemoplossingsmodus kunt u het volgende doen:

Gebruik Microsoft Defender voor Eindpunt op macOS functionele probleemoplossing/toepassingscompatibiliteit (fout-positieven).

Lokale beheerders kunnen met de juiste machtigingen de volgende configuraties voor beleid vergrendeld wijzigen op afzonderlijke eindpunten:

Instelling	Inschakelen	Uitschakelen/verwijderen
Real-Time-beveiliging/passieve modus/op aanvraag	`mdatp config real-time-protection --value enabled`	`mdatp config real-time-protection --value disabled`
Netwerkbeveiliging	`mdatp config network-protection enforcement-level --value block`	`mdatp config network-protection enforcement-level --value disabled`
realTimeProtectionStatistics	`mdatp config real-time-protection-statistics --value enabled`	`mdatp config real-time-protection-statistics --value disabled`
Tags	`mdatp edr tag set --name GROUP --value [name]`	`mdatp edr tag remove --tag-name [name]`
groupIds	`mdatp edr group-ids --group-id [group]`
Eindpunt-DLP	`mdatp config data_loss_prevention --value enabled`	`mdatp config data_loss_prevention --value disabled`

Tijdens de probleemoplossingsmodus kunt u het volgende niet doen:

Schakel manipulatiebeveiliging uit voor Microsoft Defender voor Eindpunt in macOS.
Verwijder de Microsoft Defender voor Eindpunt in macOS.

Vereisten

Ondersteunde versie van macOS voor Microsoft Defender voor Eindpunt.
Microsoft Defender voor Eindpunt moet door de tenant zijn ingeschreven en actief zijn op het apparaat.
Machtigingen voor 'Beveiligingsinstellingen beheren in Security Center' in Microsoft Defender voor Eindpunt.
Platformupdateversie: 101.23122.0005 of hoger.

Probleemoplossingsmodus inschakelen in macOS

Ga naar de Microsoft Defender-portal en meld u aan.
Navigeer naar de apparaatpagina waarop u de probleemoplossingsmodus wilt inschakelen. Selecteer vervolgens het beletselteken(...) en selecteer De probleemoplossingsmodus inschakelen.

Opmerking

De optie Probleemoplossingsmodus inschakelen is beschikbaar op alle apparaten, zelfs als het apparaat niet voldoet aan de vereisten voor de probleemoplossingsmodus.
Lees de informatie die in het deelvenster wordt weergegeven en als u klaar bent, selecteert u Verzenden om te bevestigen dat u de probleemoplossingsmodus voor dat apparaat wilt inschakelen.
U ziet dat het enkele minuten kan duren voordat de wijziging de tekst van kracht heeft . Wanneer u in deze periode het beletselteken opnieuw selecteert, ziet u dat de optie Probleemoplossingsmodus inschakelen in behandeling is grijs weergegeven.
Zodra dit is voltooid, wordt op de apparaatpagina weergegeven dat het apparaat zich nu in de probleemoplossingsmodus bevindt.

Als de eindgebruiker is aangemeld op het macOS-apparaat, ziet deze de volgende tekst:

De probleemoplossingsmodus is gestart. Met deze modus kunt u instellingen die worden beheerd door uw beheerder tijdelijk wijzigen. Verloopt op YEAR-MM-DDTHH:MM:SSZ.

Selecteer OK.
Zodra dit is ingeschakeld, kunt u de verschillende opdrachtregelopties testen die in de probleemoplossingsmodus (TS-modus) kunnen worden ingeschakeld.

Wanneer u bijvoorbeeld de opdracht gebruikt mdatp config real-time-protection --value disabled om realtime-beveiliging uit te schakelen, wordt u gevraagd uw wachtwoord in te voeren. Selecteer OK nadat u uw wachtwoord hebt ingevoerd.

Het uitvoerrapport dat lijkt op de volgende schermopname, wordt weergegeven bij het uitvoeren van de mdatp-status met real_time_protection_enabled als 'false' en tamper_protection als 'block'.

Geavanceerde opsporingsquery's voor detectie

Er zijn enkele vooraf gemaakte geavanceerde opsporingsquery's om u inzicht te geven in de probleemoplossingsgebeurtenissen die zich in uw omgeving voordoen. U kunt deze query's gebruiken om detectieregels te maken om waarschuwingen te genereren wanneer apparaten zich in de probleemoplossingsmodus bevinden.

Probleemoplossingsgebeurtenissen voor een bepaald apparaat ophalen

U kunt de volgende query gebruiken om te zoeken deviceId op of deviceName door de betreffende regels uit te voeren.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Apparaten die zich momenteel in de probleemoplossingsmodus bevinden

U kunt de apparaten vinden die zich momenteel in de probleemoplossingsmodus bevinden met behulp van de volgende query:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Aantal exemplaren van de probleemoplossingsmodus per apparaat

U kunt het aantal exemplaren van de probleemoplossingsmodus voor een apparaat vinden met behulp van de volgende query:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Totaal aantal

U kunt het totale aantal exemplaren van de probleemoplossingsmodus kennen met behulp van de volgende query:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Aanbevolen inhoud

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.

Delen via