Resources voor Microsoft Defender voor Eindpunt in macOS
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Diagnostische gegevens verzamelen
Als u een probleem kunt reproduceren, verhoogt u het logboekregistratieniveau, voert u het systeem enige tijd uit en herstelt u het logboekregistratieniveau naar het standaardniveau.
Logboekregistratieniveau verhogen:
mdatp log level set --level debugLog level configured successfullyHet probleem reproduceren
Voer uit
sudo mdatp diagnostic createom een back-up te maken van de Microsoft Defender voor Eindpunt logboeken. De bestanden worden opgeslagen in een .zip archief. Met deze opdracht wordt ook het bestandspad naar de back-up afgedrukt nadat de bewerking is voltooid.Tip
Diagnostische logboeken worden standaard opgeslagen in
/Library/Application Support/Microsoft/Defender/wdavdiag/. Als u de map wilt wijzigen waarin diagnostische logboeken worden opgeslagen, geeft--path [directory]u de onderstaande opdracht door en vervangt u door[directory]de gewenste map.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Logboekregistratieniveau herstellen:
mdatp log level set --level infoLog level configured successfully
Installatieproblemen met logboekregistratie
Als er een fout optreedt tijdens de installatie, meldt het installatieprogramma alleen een algemene fout.
Het gedetailleerde logboek wordt opgeslagen in /Library/Logs/Microsoft/mdatp/install.log. Als u problemen ondervindt tijdens de installatie, stuurt u ons dit bestand zodat we u kunnen helpen bij het vaststellen van de oorzaak.
Raadpleeg Installatieproblemen voor Microsoft Defender voor Eindpunt in macOS oplossen voor meer installatieproblemen
Verwijderen
Opmerking
Voordat u Microsoft Defender voor Eindpunt op macOS verwijdert, moet u offboarden per offboard niet-Windows-apparaten.
Er zijn verschillende manieren om Microsoft Defender voor Eindpunt in macOS te verwijderen. Houd er rekening mee dat hoewel centraal beheerde verwijdering beschikbaar is op JAMF, dit nog niet beschikbaar is voor Microsoft Intune.
Interactieve verwijdering
- Open Finder-toepassingen>. Klik met de rechtermuisknop op Microsoft Defender voor Eindpunt > Verplaatsen naar prullenbak.
Ondersteunde uitvoertypen
Ondersteunt uitvoertypen in tabel- en JSON-indeling. Voor elke opdracht is er een standaard uitvoergedrag. U kunt de uitvoer in de gewenste uitvoerindeling wijzigen met behulp van de volgende opdrachten:
-output json
-output table
Vanaf de opdrachtregel
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
JAMF Pro gebruiken
Als u Microsoft Defender voor Eindpunt op macOS wilt verwijderen met JAMF Pro, uploadt u het offboarding-profiel.
Het offboarding-profiel moet zonder wijzigingen worden geĆ¼pload en met voorkeursdomeinnaam ingesteld op com.microsoft.wdav.atp.offboarding:
Configureren vanaf de opdrachtregel
Belangrijke taken, zoals het beheren van productinstellingen en het activeren van scans op aanvraag, kunnen worden uitgevoerd vanaf de opdrachtregel:
| Groep | Scenario | Opdracht |
|---|---|---|
| Configuratie | Passieve antivirusmodus in-/uitschakelen | mdatp config passive-mode --value [enabled/disabled] |
| Configuratie | Realtime-beveiliging in-/uitschakelen | mdatp config real-time-protection --value [enabled/disabled] |
| Configuratie | Cloudbeveiliging in-/uitschakelen | mdatp config cloud --value [enabled/disabled] |
| Configuratie | Productdiagnose in-/uitschakelen | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Configuratie | Automatische inzending van voorbeelden in-/uitschakelen | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Configuratie | PUA-beveiliging in-/controleren/uitschakelen | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Configuratie | Een antivirusuitsluiting voor een proces toevoegen/verwijderen | mdatp exclusion process [add/remove] --path [path-to-process]Of mdatp exclusion process [add\|remove] --name [process-name] |
| Configuratie | Een antivirusuitsluiting voor een bestand toevoegen/verwijderen | mdatp exclusion file [add/remove] --path [path-to-file] |
| Configuratie | Een antivirusuitsluiting voor een map toevoegen/verwijderen | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Configuratie | Een antivirusuitsluiting voor een bestandsextensie toevoegen/verwijderen | mdatp exclusion extension [add/remove] --name [extension] |
| Configuratie | Alle antivirusuitsluitingen weergeven | mdatp exclusion list |
| Configuratie | Mate van parallelle uitvoering configureren voor scans op aanvraag | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Configuratie | Scans in-/uitschakelen na updates van beveiligingsinformatie | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Configuratie | Archiefscans in-/uitschakelen (alleen scans op aanvraag) | mdatp config scan-archives --value [enabled/disabled] |
| Configuratie | Hash-berekening van bestanden in-/uitschakelen | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Beveiliging | Een pad scannen | mdatp scan custom --path [path] [--ignore-exclusions] |
| Beveiliging | Een snelle scan uitvoeren | mdatp scan quick |
| Beveiliging | Een volledige scan uitvoeren | mdatp scan full |
| Beveiliging | Een doorlopende scan op aanvraag annuleren | mdatp scan cancel |
| Beveiliging | Een update voor beveiligingsinformatie aanvragen | mdatp definitions update |
| Configuratie | Een bedreigingsnaam toevoegen aan de lijst met toegestane bedreigingen | mdatp threat allowed add --name [threat-name] |
| Configuratie | Een bedreigingsnaam verwijderen uit de lijst met toegestane bedreigingen | mdatp threat allowed remove --name [threat-name] |
| Configuratie | Alle toegestane bedreigingsnamen weergeven | mdatp threat allowed list |
| Beveiligingsgeschiedenis | De volledige beveiligingsgeschiedenis afdrukken | mdatp threat list |
| Beveiligingsgeschiedenis | Bedreigingsdetails ophalen | mdatp threat get --id [threat-id] |
| Quarantainebeheer | Alle bestanden in quarantaine weergeven | mdatp threat quarantine list |
| Quarantainebeheer | Alle bestanden uit de quarantaine verwijderen | mdatp threat quarantine remove-all |
| Quarantainebeheer | Een bestand toevoegen dat is gedetecteerd als een bedreiging aan de quarantaine | mdatp threat quarantine add --id [threat-id] |
| Quarantainebeheer | Een bestand verwijderen dat is gedetecteerd als een bedreiging uit de quarantaine | mdatp threat quarantine remove --id [threat-id] |
| Quarantainebeheer | Een bestand herstellen vanuit de quarantaine. Beschikbaar in Defender voor Eindpunt-versie lager dan 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Quarantainebeheer | Herstel een bestand vanuit de quarantaine met bedreigings-id. Beschikbaar in Defender voor Eindpunt versie 101.23092.0012 of hoger. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Quarantainebeheer | Herstel een bestand vanuit de quarantaine met het oorspronkelijke bedreigingspad. Beschikbaar in Defender voor Eindpunt versie 101.23092.0012 of hoger. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Configuratie van netwerkbeveiliging | Het afdwingingsniveau voor netwerkbeveiliging configureren | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Netwerkbeveiligingsbeheer | Controleren of Netwerkbeveiliging is gestart | mdatp health --field network_protection_status |
| Beheer van apparaatbeheer | Is Apparaatbeheer ingeschakeld en wat is de standaard afdwinging? | mdatp device-control policy preferences list |
| Beheer van apparaatbeheer | Welk beleid voor apparaatbeheer is ingeschakeld? | mdatp device-control policy rules list |
| Beheer van apparaatbeheer | Welke beleidsgroepen voor apparaatbeheer zijn ingeschakeld? | mdatp device-control policy groups list |
| Configuratie | Preventie van gegevensverlies in-/uitschakelen | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnostics | Het logboekniveau wijzigen | mdatp log level set --level [error/warning/info/verbose] |
| Diagnostics | Diagnostische logboeken genereren | mdatp diagnostic create --path [directory] |
| Gezondheid | De status van het product controleren | mdatp health |
| Gezondheid | Controleren op een specifiek productkenmerk | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | Uitsluitingen van EDR-lijsten (hoofdmap) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Tag instellen/verwijderen, alleen GROEP ondersteund | mdatp edr tag set --name GROUP --value [name] |
| EDR | Groepstag van apparaat verwijderen | mdatp edr tag remove --tag-name [name] |
| EDR | Groeps-id toevoegen | mdatp edr group-ids --group-id [group] |
Automatisch aanvullen inschakelen
Als u automatisch aanvullen in bash wilt inschakelen, voert u de volgende opdracht uit en start u de Terminal-sessie opnieuw:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Automatisch aanvullen inschakelen in zsh:
Controleer of automatisch aanvullen is ingeschakeld op uw apparaat:
cat ~/.zshrc | grep autoloadAls de voorgaande opdracht geen uitvoer produceert, kunt u automatisch aanvullen inschakelen met behulp van de volgende opdracht:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcVoer de volgende opdrachten uit om automatisch aanvullen in te schakelen voor Microsoft Defender voor Eindpunt in macOS en start de Terminal-sessie opnieuw:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Map client-Microsoft Defender voor Eindpunt quarantaine
/Library/Application Support/Microsoft/Defender/quarantine/ bevat de bestanden die in quarantaine zijn geplaatst door mdatp. De bestanden zijn vernoemd naar de threat trackingId. De huidige trackingIds wordt weergegeven met mdatp threat list.
Microsoft Defender voor Eindpunt portalgegevens
De Microsoft Defender voor Eindpunt blog, EDR-mogelijkheden voor macOS zijn nu gearriveerd, biedt gedetailleerde richtlijnen voor wat u kunt verwachten.
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor