Resources voor Microsoft Defender voor Eindpunt in macOS
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Diagnostische gegevens verzamelen
Als u een probleem kunt reproduceren, verhoogt u het logboekregistratieniveau, voert u het systeem enige tijd uit en herstelt u vervolgens het logboekregistratieniveau naar het standaardniveau.
Logboekregistratieniveau verhogen:
mdatp log level set --level debugLog level configured successfullyReproduceer het probleem.
Voer uit
sudo mdatp diagnostic createom een back-up te maken van de Microsoft Defender voor Eindpunt logboeken. De bestanden worden opgeslagen in een.ziparchief. Met deze opdracht wordt ook het bestandspad naar de back-up afgedrukt nadat de bewerking is geslaagd.Tip
Diagnostische logboeken worden standaard opgeslagen in
/Library/Application Support/Microsoft/Defender/wdavdiag/. Als u de map wilt wijzigen waarin diagnostische logboeken worden opgeslagen, geeft--path [directory]u de onderstaande opdracht door en vervangt u door[directory]de gewenste map.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Logboekregistratieniveau herstellen.
mdatp log level set --level infoLog level configured successfully
Installatieproblemen met logboekregistratie
Als er een fout optreedt tijdens de installatie, meldt het installatieprogramma alleen een algemene fout. Het gedetailleerde logboek wordt opgeslagen in /Library/Logs/Microsoft/mdatp/install.log. Als u problemen ondervindt tijdens de installatie, stuurt u ons dit bestand wanneer u uw ondersteuningsaanvraag opent, zodat we u kunnen helpen bij het vaststellen van de oorzaak.
Configureren vanaf de opdrachtregel
Ondersteunde uitvoertypen
Ondersteunt uitvoertypen in tabel- en JSON-indeling. Voor elke opdracht is er een standaard uitvoergedrag. U kunt de uitvoer in de gewenste uitvoerindeling wijzigen met behulp van de volgende opdrachten:
-output json
-output table
Belangrijke taken, zoals het beheren van productinstellingen en het activeren van scans op aanvraag, kunnen worden uitgevoerd met behulp van de opdrachtregel:
| Groep | Scenario | Opdracht |
|---|---|---|
| Configuratie | Antivirus in-/uitschakelen in passieve modus | mdatp config passive-mode --value [enabled/disabled] |
| Configuratie | Realtime-beveiliging in-/uitschakelen | mdatp config real-time-protection --value [enabled/disabled] |
| Configuratie | Gedragscontrole in-/uitschakelen | mdatp config behavior-monitoring --value [enabled/disabled] |
| Configuratie | Cloudbeveiliging in-/uitschakelen | mdatp config cloud --value [enabled/disabled] |
| Configuratie | Productdiagnose in-/uitschakelen | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Configuratie | Automatische inzending van voorbeelden in-/uitschakelen | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Configuratie | PUA-beveiliging in-/controleren/uitschakelen | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Configuratie | Een antivirusuitsluiting voor een proces toevoegen/verwijderen |
mdatp exclusion process [add/remove] --path [path-to-process]of mdatp exclusion process [add\|remove] --name [process-name] |
| Configuratie | Een antivirusuitsluiting voor een bestand toevoegen/verwijderen | mdatp exclusion file [add/remove] --path [path-to-file] |
| Configuratie | Een antivirusuitsluiting voor een map toevoegen/verwijderen | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Configuratie | Een antivirusuitsluiting voor een bestandsextensie toevoegen/verwijderen | mdatp exclusion extension [add/remove] --name [extension] |
| Configuratie | Alle antivirusuitsluitingen weergeven | mdatp exclusion list |
| Configuratie | Mate van parallelle uitvoering configureren voor scans op aanvraag | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Configuratie | Scans in-/uitschakelen na updates van beveiligingsinformatie | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Configuratie | Archiefscans in-/uitschakelen (alleen scans op aanvraag) | mdatp config scan-archives --value [enabled/disabled] |
| Configuratie | Hash-berekening van bestanden in-/uitschakelen | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Beveiliging | Een pad scannen | mdatp scan custom --path [path] [--ignore-exclusions] |
| Beveiliging | Een snelle scan uitvoeren | mdatp scan quick |
| Beveiliging | Een volledige scan uitvoeren | mdatp scan full |
| Beveiliging | Een doorlopende scan op aanvraag annuleren | mdatp scan cancel |
| Beveiliging | Een update voor beveiligingsinformatie aanvragen | mdatp definitions update |
| Configuratie | Een bedreigingsnaam toevoegen aan de lijst met toegestane bedreigingen | mdatp threat allowed add --name [threat-name] |
| Configuratie | Een bedreigingsnaam verwijderen uit de lijst met toegestane bedreigingen | mdatp threat allowed remove --name [threat-name] |
| Configuratie | Alle toegestane bedreigingsnamen weergeven | mdatp threat allowed list |
| Beveiligingsgeschiedenis | De volledige beveiligingsgeschiedenis afdrukken | mdatp threat list |
| Beveiligingsgeschiedenis | Bedreigingsdetails ophalen | mdatp threat get --id [threat-id] |
| Quarantainebeheer | Alle bestanden in quarantaine weergeven | mdatp threat quarantine list |
| Quarantainebeheer | Alle bestanden uit de quarantaine verwijderen | mdatp threat quarantine remove-all |
| Quarantainebeheer | Een bestand toevoegen dat is gedetecteerd als een bedreiging aan de quarantaine | mdatp threat quarantine add --id [threat-id] |
| Quarantainebeheer | Een bestand verwijderen dat is gedetecteerd als een bedreiging uit de quarantaine | mdatp threat quarantine remove --id [threat-id] |
| Quarantainebeheer | Een bestand herstellen vanuit de quarantaine. Beschikbaar in defender voor eindpuntversie vóór 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Quarantainebeheer | Herstel een bestand vanuit de quarantaine met bedreigings-id. Beschikbaar in Defender voor Eindpunt versie 101.23092.0012 of hoger. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Quarantainebeheer | Herstel een bestand vanuit de quarantaine met het oorspronkelijke bedreigingspad. Beschikbaar in Defender voor Eindpunt versie 101.23092.0012 of hoger. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Configuratie van netwerkbeveiliging | Het afdwingingsniveau voor netwerkbeveiliging configureren | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Netwerkbeveiligingsbeheer | Controleren of Netwerkbeveiliging is gestart | mdatp health --field network_protection_status |
| Beheer van apparaatbeheer | Is Apparaatbeheer ingeschakeld en wat is de standaard afdwinging? | mdatp device-control policy preferences list |
| Beheer van apparaatbeheer | Welk beleid voor apparaatbeheer is ingeschakeld? | mdatp device-control policy rules list |
| Beheer van apparaatbeheer | Welke beleidsgroepen voor apparaatbeheer zijn ingeschakeld? | mdatp device-control policy groups list |
| Configuratie | Preventie van gegevensverlies in-/uitschakelen | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnostiek | Het logboekniveau wijzigen | mdatp log level set --level [error/warning/info/verbose] |
| Diagnostiek | Diagnostische logboeken genereren | mdatp diagnostic create --path [directory] |
| Gezondheid | De status van het product controleren | mdatp health |
| Gezondheid | Controleren op een specifiek productkenmerk | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | Uitsluitingen van EDR-lijsten (hoofdmap) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Tag instellen/verwijderen, alleen GROEP ondersteund | mdatp edr tag set --name GROUP --value [name] |
| EDR | Groepstag van apparaat verwijderen | mdatp edr tag remove --tag-name [name] |
| EDR | Groeps-id toevoegen | mdatp edr group-ids --group-id [group] |
Automatisch aanvullen inschakelen
Als u automatisch aanvullen in bash wilt inschakelen, voert u de volgende opdracht uit en start u de Terminal-sessie opnieuw:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Automatisch aanvullen inschakelen in zsh:
Controleer of automatisch aanvullen is ingeschakeld op uw apparaat:
cat ~/.zshrc | grep autoloadAls de voorgaande opdracht geen uitvoer produceert, kunt u automatisch aanvullen inschakelen met behulp van de volgende opdracht:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcVoer de volgende opdrachten uit om automatisch aanvullen in te schakelen voor Microsoft Defender voor Eindpunt in macOS en start de Terminal-sessie opnieuw:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Map client-Microsoft Defender voor Eindpunt quarantaine
/Library/Application Support/Microsoft/Defender/quarantine/ bevat de bestanden die in quarantaine zijn geplaatst door mdatp. De bestanden zijn vernoemd naar de threat trackingId. De huidige trackingIds worden weergegeven met mdatp threat list.
Verwijderen
Er zijn verschillende manieren om Microsoft Defender voor Eindpunt in macOS te verwijderen. Hoewel centraal beheerde verwijdering beschikbaar is op JAMF, is dit nog niet beschikbaar voor Microsoft Intune.
Voor het verwijderen van Microsoft Defender voor Eindpunt in macOS is het volgende vereist:
Maak een apparaattag, geef de tag de naam die buiten gebruik is gesteld en wijs deze toe aan het macOS-apparaat waar Microsoft Defender voor macOS wordt verwijderd.
Maak een apparaatgroep en geef deze een naam (bijvoorbeeld uit bedrijf genomen macOS) en wijs een gebruikersgroep toe die ze moet kunnen zien.
Opmerking: stap 1 en 2 zijn optioneel als u deze apparaten die gedurende 180 dagen buiten gebruik zijn gesteld in de 'Apparaatinventaris' niet wilt zien.
Verwijder het beleid 'Voorkeuren instellen' dat manipulatiebeveiliging bevat of via de handmatige configuratie.
Offboard elk apparaat per offboard niet-Windows-apparaten.
De Microsoft Defender voor Eindpunt voor macOS-apps verwijderen
Verwijder het apparaat uit de groep voor beleid voor systeemextensie als een MDM is gebruikt om deze in te stellen.
Interactieve verwijdering
- Open Finder-toepassingen>. Klik met de rechtermuisknop op Microsoft Defender voor Eindpunt en selecteer verplaatsen naar prullenbak.
Vanaf de opdrachtregel
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
JAMF Pro gebruiken
Als u Microsoft Defender voor Eindpunt op macOS wilt verwijderen met jamf Pro, uploadt u het offboarding-profiel.
Het offboarding-profiel moet zonder wijzigingen worden geüpload en met voorkeursdomeinnaam ingesteld op com.microsoft.wdav.atp.offboarding, zoals wordt weergegeven in de volgende afbeelding:
Opmerking
Als u problemen ondervindt bij het verwijderen van Defender voor Eindpunt op Mac en u in uw rapporten een item ziet voor Microsoft Defender Endpoint Security-extensie, volgt u deze stappen:
- Installeer de Microsoft Defender-app opnieuw.
- Sleep Microsoft Defender.app naar prullenbak.
- Voer deze opdracht uit:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook. - Start het apparaat opnieuw op.
De Microsoft Defender portal
Wanneer bedreigingen worden gedetecteerd, kan uw beveiligingsteam detecties bekijken en zo nodig reactieacties uitvoeren op een apparaat in de Microsoft Defender portal (https://security.microsoft.com). De Microsoft Defender combineert beveiliging, detectie, onderzoek en reactie op bedreigingen op een centrale locatie. Zie de volgende hulpmiddelen voor meer informatie:
- Overzicht van eindpuntdetectie en -respons
- Tech Community-blog: EDR-mogelijkheden voor macOS zijn nu aangekomen
- Overzicht van Microsoft Defender portal
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.