Aan de slag met de probleemoplossingsmodus in Microsoft Defender voor Eindpunt

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

met Microsoft Defender voor Eindpunt probleemoplossingsmodus kunt u verschillende Microsoft Defender antivirusfuncties oplossen door deze in te schakelen vanaf het apparaat en verschillende scenario's te testen, zelfs als ze worden beheerd door het organisatiebeleid. De probleemoplossingsmodus is standaard uitgeschakeld en vereist dat u deze gedurende een beperkte tijd inschakelt voor een apparaat (en/of groep apparaten). Houd er rekening mee dat dit uitsluitend een functie voor ondernemingen is en Microsoft 365 Defender toegang vereist.

Wat moet u weten voordat u begint?

  • Gebruik de probleemoplossingsmodus om de instelling voor manipulatiebeveiliging uit te schakelen/te wijzigen om uit te voeren:

    • Microsoft Defender Antivirus functionele probleemoplossing/toepassingscompatibiliteit (fout-positieve toepassingsblokken).
    • Microsoft Defender problemen met antivirusprestaties oplossen met behulp van de probleemoplossingsmodus en manipulatie van manipulatiebeveiliging en andere antivirusinstellingen.
  • Als er een manipulatiegebeurtenis optreedt (de momentopname wordt bijvoorbeeld gewijzigd of verwijderd), wordt de MpPreference probleemoplossingsmodus beëindigd en wordt manipulatiebeveiliging ingeschakeld op het apparaat.

  • Lokale beheerders kunnen met de juiste machtigingen configuraties wijzigen op afzonderlijke eindpunten die meestal zijn vergrendeld door beleid. Een apparaat in de probleemoplossingsmodus kan handig zijn bij het diagnosticeren van Microsoft Defender scenario's voor antivirusprestaties en -compatibiliteit.

    • Lokale beheerders kunnen Microsoft Defender Antivirus niet uitschakelen of verwijderen.
    • Lokale beheerders kunnen alle andere beveiligingsinstellingen in de Microsoft Defender Antivirus-suite configureren (bijvoorbeeld cloudbeveiliging, manipulatiebeveiliging).
  • Beheerders met de machtigingen 'Beveiligingsinstellingen beheren' hebben toegang om de probleemoplossingsmodus in te schakelen.

  • Microsoft Defender voor Eindpunt verzamelt logboeken en onderzoeksgegevens tijdens het probleemoplossingsproces.

    • Momentopname van MpPreference wordt gemaakt voordat de probleemoplossingsmodus wordt gestart.

    • De tweede momentopname wordt gemaakt net voordat de probleemoplossingsmodus verloopt.

    • Operationele logboeken van tijdens de probleemoplossingsmodus worden ook verzameld.

    • Alle bovenstaande logboeken en momentopnamen worden verzameld en zijn beschikbaar voor een beheerder om te verzamelen met behulp van de functie Onderzoekpakket verzamelen op de apparaatpagina. Houd er rekening mee dat Microsoft deze gegevens pas van het apparaat verwijdert als een beheerder ze heeft verzameld.

  • Beheerders kunnen ook de wijzigingen in instellingen bekijken die plaatsvinden tijdens de probleemoplossingsmodus in Logboeken op de apparaatpagina.

  • De probleemoplossingsmodus wordt automatisch uitgeschakeld nadat de verlooptijd is bereikt (deze duurt 3 uur). Na het verlopen worden alle door beleid beheerde configuraties weer alleen-lezen en worden ze teruggezet naar de manier waarop deze was voordat de probleemoplossingsmodus werd ingesteld.

  • Het kan tot 15 minuten duren vanaf het moment dat de opdracht wordt verzonden vanaf Microsoft 365 Defender tot het moment dat deze actief wordt op het apparaat.

  • Er wordt een melding verzonden naar de eindgebruiker wanneer de probleemoplossingsmodus wordt gestart en wanneer de probleemoplossingsmodus wordt beëindigd. Er wordt ook een waarschuwing verzonden met de melding dat deze binnenkort afloopt.

  • Het begin en einde van de probleemoplossingsmodus worden aangegeven in de apparaattijdlijn op de apparaatpagina.

  • U kunt een query uitvoeren op alle gebeurtenissen in de probleemoplossingsmodus in geavanceerde opsporing.

Opmerking

Wijzigingen in beleidsbeheer worden toegepast op de computer wanneer deze actief is in de probleemoplossingsmodus. De wijzigingen worden echter pas van kracht als de probleemoplossingsmodus is verlopen. Bovendien worden Microsoft Defender Antivirus Platform-updates niet toegepast tijdens de probleemoplossingsmodus. Platformupdates worden toegepast zodra de probleemoplossingsmodus is beëindigd met een Windows-update.

Voorwaarden

  • Een apparaat met Windows 10 (versie 19044.1618 of hoger), Windows 11, Windows Server 2019 of Windows Server 2022.

    Semester/Redstone Versie van besturingssysteem Release
    21H2/SV1 >=22000,593 KB5011563: Microsoft Update-catalogus
    20H1/20H2/21H1 >=19042.1620
    >=19041,1620
    >=19043,1620
    KB5011543: Microsoft Update-catalogus
    Windows Server 2022 >=20348,617 KB5011558: Microsoft Update-catalogus
    Windows Server 2019 (RS5) >=17763,2746 KB5011551: Microsoft Update-catalogus
  • De probleemoplossingsmodus is ook beschikbaar voor machines met de moderne, geïntegreerde oplossing voor Windows Server 2012 R2 en Windows Server 2016. Gebruik tijdens de probleemoplossingsmodus Set-MPPreference -DisableTamperProtection $true om manipulatiebeveiliging tijdelijk uit te schakelen op uw apparaat en de benodigde configuratiewijzigingen aan te brengen. Voordat u de probleemoplossingsmodus gebruikt, moet u ervoor zorgen dat alle volgende onderdelen up-to-date zijn:

  • Als u de probleemoplossingsmodus wilt toepassen, moet Microsoft Defender voor Eindpunt zijn ingeschreven bij de tenant en actief zijn op het apparaat.

  • Het apparaat moet actief worden uitgevoerd Microsoft Defender Antivirus, versie 4.18.2203 of hoger.

De probleemoplossingsmodus inschakelen

  1. Ga naar de Microsoft 365 Defender-portal (https://security.microsoft.com) en meld u aan.

  2. Navigeer naar de apparaatpagina/computerpagina voor het apparaat dat u de probleemoplossingsmodus wilt inschakelen. Selecteer Probleemoplossingsmodus inschakelen. Houd er rekening mee dat hiervoor de machtigingen 'Beveiligingsinstellingen beheren in Security Center' zijn vereist voor Microsoft Defender voor Eindpunt.

    Probleemoplossingsmodus inschakelen

  3. Bevestig dat u de probleemoplossingsmodus voor het apparaat wilt inschakelen.

    De flyout van de configuratie

  4. Op de apparaatpagina ziet u dat het apparaat zich nu in de probleemoplossingsmodus bevindt.

    Het apparaat bevindt zich nu in de probleemoplossingsmodus

Geavanceerde opsporingsquery's

Hier volgen enkele vooraf gemaakte geavanceerde opsporingsquery's om u inzicht te geven in de probleemoplossingsgebeurtenissen die zich in uw omgeving voordoen. U kunt deze query's ook gebruiken om detectieregels te maken die u waarschuwen wanneer de apparaten zich in de probleemoplossingsmodus bevinden.

Probleemoplossingsgebeurtenissen voor een bepaald apparaat ophalen

Zoek op deviceId of deviceName door de betreffende regels uit te voegen.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Apparaten die zich momenteel in de probleemoplossingsmodus bevinden

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Aantal exemplaren van de probleemoplossingsmodus per apparaat

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Totaal aantal

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Tip

Prestatietip Vanwege verschillende factoren (voorbeelden hieronder) kan Microsoft Defender Antivirus, net als andere antivirussoftware, prestatieproblemen veroorzaken op eindpuntapparaten. In sommige gevallen moet u mogelijk de prestaties van Microsoft Defender Antivirus afstemmen om deze prestatieproblemen te verhelpen. Performance Analyzer van Microsoft is een PowerShell-opdrachtregelprogramma waarmee u kunt bepalen welke bestanden, bestandspaden, processen en bestandsextensies prestatieproblemen kunnen veroorzaken. enkele voorbeelden zijn:

  • Belangrijkste paden die van invloed zijn op de scantijd
  • Belangrijkste bestanden die van invloed zijn op de scantijd
  • Belangrijkste processen die van invloed zijn op de scantijd
  • Belangrijkste bestandsextensies die van invloed zijn op de scantijd
  • Combinaties , bijvoorbeeld:
    • belangrijkste bestanden per extensie
    • bovenste paden per extensie
    • belangrijkste processen per pad
    • bovenste scans per bestand
    • topscans per bestand per proces

U kunt de informatie die is verzameld met Performance Analyzer gebruiken om prestatieproblemen beter te beoordelen en herstelacties toe te passen. Zie Prestatieanalyse voor Microsoft Defender Antivirus.