Aan de slag met de probleemoplossingsmodus in Microsoft Defender voor Eindpunt

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

De probleemoplossingsmodus in Microsoft Defender voor Eindpunt stelt beheerders in staat om verschillende Microsoft Defender Antivirus-functies op te lossen, zelfs als apparaten worden beheerd door organisatiebeleid. Als manipulatiebeveiliging bijvoorbeeld is ingeschakeld, kunnen bepaalde instellingen niet worden gewijzigd of uitgeschakeld, maar kunt u de probleemoplossingsmodus op een apparaat gebruiken om deze instellingen tijdelijk te bewerken.

De probleemoplossingsmodus is standaard uitgeschakeld en vereist dat u deze gedurende een beperkte tijd inschakelt voor een apparaat (en/of groep apparaten). De probleemoplossingsmodus is uitsluitend een functie voor ondernemingen en vereist Microsoft Defender portaltoegang.

Tip

  • Tijdens de probleemoplossingsmodus kunt u de PowerShell-opdracht Set-MPPreference -DisableTamperProtection $true op Windows-apparaten gebruiken.
  • Als u de status van manipulatiebeveiliging wilt controleren, kunt u de PowerShell-cmdlet Get-MpComputerStatus gebruiken. Zoek in de lijst met resultaten naar IsTamperProtected of RealTimeProtectionEnabled. (De waarde true betekent dat manipulatiebeveiliging is ingeschakeld.) .

Wat moet u weten voordat u begint?

Tijdens de probleemoplossingsmodus kunt u de PowerShell-opdracht Set-MPPreference -DisableTamperProtection $true of, op clientbesturingssystemen, de Security Center-app gebruiken om manipulatiebeveiliging tijdelijk uit te schakelen op uw apparaat en de benodigde configuratiewijzigingen aan te brengen.

  • Gebruik de probleemoplossingsmodus om de instelling voor manipulatiebeveiliging uit te schakelen/te wijzigen om uit te voeren:

    • Microsoft Defender Antivirus functionele probleemoplossing/toepassingscompatibiliteit (fout-positieve toepassingsblokken).

  • Lokale beheerders kunnen met de juiste machtigingen configuraties wijzigen op afzonderlijke eindpunten die meestal zijn vergrendeld door beleid. Een apparaat in de probleemoplossingsmodus kan handig zijn bij het diagnosticeren van Microsoft Defender scenario's voor antivirusprestaties en -compatibiliteit.

    • Lokale beheerders kunnen Microsoft Defender Antivirus niet uitschakelen of verwijderen.

    • Lokale beheerders kunnen alle andere beveiligingsinstellingen configureren in de Microsoft Defender Antivirus-suite (bijvoorbeeld cloudbeveiliging, manipulatiebeveiliging).

  • Beheerders met de machtigingen 'Beveiligingsinstellingen beheren' hebben toegang om de probleemoplossingsmodus in te schakelen.

  • Microsoft Defender voor Eindpunt verzamelt logboeken en onderzoeksgegevens tijdens het probleemoplossingsproces.

    • Er wordt een momentopname van MpPreference gemaakt voordat de probleemoplossingsmodus wordt gestart.

    • Er wordt een tweede momentopname gemaakt net voordat de probleemoplossingsmodus verloopt.

    • Operationele logboeken van tijdens de probleemoplossingsmodus worden ook verzameld.

    • Logboeken en momentopnamen worden verzameld en zijn beschikbaar voor een beheerder om te verzamelen met behulp van de functie Onderzoekpakket verzamelen op de apparaatpagina. Microsoft verwijdert deze gegevens pas van het apparaat als een beheerder deze heeft verzameld.

  • Beheerders kunnen ook de wijzigingen in instellingen bekijken die plaatsvinden tijdens de probleemoplossingsmodus in Logboeken op de apparaatpagina.

  • De probleemoplossingsmodus wordt automatisch uitgeschakeld nadat de verlooptijd is bereikt (deze duurt 4 uur). Na verloop van tijd worden alle door beleid beheerde configuraties weer alleen-lezen en worden ze teruggezet naar de manier waarop het apparaat was geconfigureerd voordat de probleemoplossingsmodus werd ingeschakeld.

  • Het kan tot 15 minuten duren voordat de opdracht wordt verzonden vanaf Microsoft Defender XDR tot het moment dat deze actief wordt op het apparaat.

  • Er worden meldingen naar de gebruiker verzonden wanneer de probleemoplossingsmodus wordt gestart en wanneer de probleemoplossingsmodus wordt beëindigd. Er wordt ook een waarschuwing verzonden om aan te geven dat de probleemoplossingsmodus binnenkort wordt beëindigd.

  • Het begin en einde van de probleemoplossingsmodus worden aangegeven in de apparaattijdlijn op de apparaatpagina.

  • U kunt een query uitvoeren op alle gebeurtenissen in de probleemoplossingsmodus in geavanceerde opsporing.

Opmerking

Wijzigingen in beleidsbeheer worden toegepast op het apparaat wanneer het actief is in de probleemoplossingsmodus. De wijzigingen worden echter pas van kracht als de probleemoplossingsmodus is verlopen. Bovendien worden Microsoft Defender Antivirus Platform-updates niet toegepast tijdens de probleemoplossingsmodus. Platformupdates worden toegepast wanneer de probleemoplossingsmodus eindigt met een Windows-update.

Vereisten

Probleemoplossingsmodus inschakelen

  1. Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.

  2. Navigeer naar de apparaatpagina/computerpagina voor het apparaat dat u de probleemoplossingsmodus wilt inschakelen. Selecteer Probleemoplossingsmodus inschakelen. U moet de machtigingen 'Beveiligingsinstellingen beheren in Security Center' hebben voor Microsoft Defender voor Eindpunt.

    Probleemoplossingsmodus inschakelen

Opmerking

De optie Probleemoplossingsmodus inschakelen is beschikbaar op alle apparaten, zelfs als het apparaat niet voldoet aan de vereisten voor de probleemoplossingsmodus.

  1. Bevestig dat u de probleemoplossingsmodus voor het apparaat wilt inschakelen.

    De flyout van de configuratie

  2. Op de apparaatpagina ziet u dat het apparaat zich nu in de probleemoplossingsmodus bevindt.

    Het apparaat bevindt zich nu in de probleemoplossingsmodus

Geavanceerde opsporingsquery's

Hier volgen enkele vooraf gemaakte geavanceerde opsporingsquery's om u inzicht te geven in de probleemoplossingsgebeurtenissen die zich in uw omgeving voordoen. U kunt deze query's ook gebruiken om detectieregels te maken om waarschuwingen te genereren wanneer apparaten zich in de probleemoplossingsmodus bevinden.

Probleemoplossingsgebeurtenissen voor een bepaald apparaat ophalen

Search op deviceId of deviceName door de respectieve regels te becommentariëren.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Apparaten die zich momenteel in de probleemoplossingsmodus bevinden

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Aantal exemplaren van de probleemoplossingsmodus per apparaat

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Totaal aantal

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Tip

Prestatietip Vanwege verschillende factoren kan Microsoft Defender Antivirus, net als andere antivirussoftware, prestatieproblemen veroorzaken op eindpuntapparaten. In sommige gevallen moet u mogelijk de prestaties van Microsoft Defender Antivirus afstemmen om deze prestatieproblemen te verhelpen. Performance Analyzer van Microsoft is een PowerShell-opdrachtregelprogramma waarmee u kunt bepalen welke bestanden, bestandspaden, processen en bestandsextensies prestatieproblemen kunnen veroorzaken. enkele voorbeelden zijn:

  • Belangrijkste paden die van invloed zijn op de scantijd
  • Belangrijkste bestanden die van invloed zijn op de scantijd
  • Belangrijkste processen die van invloed zijn op de scantijd
  • Belangrijkste bestandsextensies die van invloed zijn op de scantijd
  • Combinaties , bijvoorbeeld:
    • belangrijkste bestanden per extensie
    • bovenste paden per extensie
    • belangrijkste processen per pad
    • bovenste scans per bestand
    • topscans per bestand per proces

U kunt de informatie die is verzameld met Performance Analyzer gebruiken om prestatieproblemen beter te beoordelen en herstelacties toe te passen. Zie Prestatieanalyse voor Microsoft Defender Antivirus.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.