Zasoby
Dotyczy:
- serwer Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender dla serwerów
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Jeśli możesz odtworzyć problem, najpierw zwiększ poziom rejestrowania, uruchom system przez jakiś czas, a następnie przywróć domyślny poziom rejestrowania.
Zwiększ poziom rejestrowania:
mdatp log level set --level debug
Log level configured successfully
Odtwórz problem.
Uruchom następujące polecenie, aby utworzyć kopię zapasową usługi Defender dla dzienników punktu końcowego. Pliki będą przechowywane w archiwum .zip.
sudo mdatp diagnostic create
To polecenie spowoduje również wyświetlenie ścieżki pliku do kopii zapasowej po pomyślnym wykonaniu operacji:
Diagnostic file created: <path to file>
Poziom rejestrowania przywracania:
mdatp log level set --level info
Log level configured successfully
Jeśli podczas instalacji wystąpi błąd, instalator zgłosi tylko ogólny błąd.
Szczegółowy dziennik zostanie zapisany w /var/log/microsoft/mdatp/install.log
pliku .
Jeśli podczas instalacji wystąpią problemy, wyślij do nas ten plik, abyśmy mogli pomóc w zdiagnozowaniu przyczyny.
Istnieje kilka sposobów odinstalowania usługi Defender for Endpoint w systemie Linux. Jeśli używasz narzędzia konfiguracji, takiego jak Puppet, postępuj zgodnie z instrukcjami dezinstalacji pakietu dla narzędzia konfiguracji.
-
sudo yum remove mdatp
dla RHEL i wariantów (CentOS i Oracle Linux). -
sudo zypper remove mdatp
dla SLES i wariantów. -
sudo apt-get purge mdatp
systemów Ubuntu i Debian. -
sudo dnf remove mdatp
dla marynarza
Ważne zadania, takie jak kontrolowanie ustawień produktu i wyzwalanie skanowania na żądanie, można wykonać z poziomu wiersza polecenia.
Domyślnie narzędzie wiersza polecenia generuje wynik w formacie czytelnym dla człowieka. Ponadto narzędzie obsługuje również wyprowadzanie wyniku w formacie JSON, co jest przydatne w scenariuszach automatyzacji. Aby zmienić dane wyjściowe na JSON, przekaż --output json
dowolne z poniższych poleceń.
W poniższej tabeli wymieniono polecenia dla niektórych typowych scenariuszy. Uruchom mdatp help
polecenie z poziomu terminalu, aby wyświetlić pełną listę obsługiwanych poleceń.
Grupa | Scenariusz | Polecenie |
---|---|---|
Konfiguracja | Włączanie/wyłączanie ochrony w czasie rzeczywistym | mdatp config real-time-protection --value [enabled\|disabled] |
Konfiguracja | Włączanie/wyłączanie monitorowania zachowania | mdatp config behavior-monitoring --value [enabled\|disabled] |
Konfiguracja | Włączanie/wyłączanie ochrony w chmurze | mdatp config cloud --value [enabled\|disabled] |
Konfiguracja | Włączanie/wyłączanie diagnostyki produktu | mdatp config cloud-diagnostic --value [enabled\|disabled] |
Konfiguracja | Włączanie/wyłączanie automatycznego przesyłania przykładów | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
Konfiguracja | Włączanie/wyłączanie trybu pasywnego AV | mdatp config passive-mode --value [enabled\|disabled] |
Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla rozszerzenia pliku | mdatp exclusion extension [add\|remove] --name [extension] |
Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla pliku | mdatp exclusion file [add\|remove] --path [path-to-file] |
Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla katalogu | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla procesu | mdatp exclusion process [add\|remove] --path [path-to-process] |
Konfiguracja | Dodawanie/usuwanie globalnego wykluczenia dla pliku | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
Konfiguracja | Dodawanie/usuwanie globalnego wykluczenia dla katalogu | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
Konfiguracja | Dodawanie/usuwanie globalnego wykluczenia dla procesu | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
Konfiguracja | Wyświetl listę wszystkich wykluczeń programu antywirusowego | mdatp exclusion list |
Konfiguracja | Dodawanie nazwy zagrożenia do listy dozwolonych | mdatp threat allowed add --name [threat-name] |
Konfiguracja | Usuwanie nazwy zagrożenia z listy dozwolonych | mdatp threat allowed remove --name [threat-name] |
Konfiguracja | Wyświetl listę wszystkich dozwolonych nazw zagrożeń | mdatp threat allowed list |
Konfiguracja | Włączanie ochrony pua | mdatp threat policy set --type potentially_unwanted_application --action block |
Konfiguracja | Wyłączanie ochrony pua | mdatp threat policy set --type potentially_unwanted_application --action off |
Konfiguracja | Włączanie trybu inspekcji w celu ochrony pua | mdatp threat policy set --type potentially_unwanted_application --action audit |
Konfiguracja | Konfigurowanie stopnia równoległości na potrzeby skanowania na żądanie | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
Konfiguracja | Włączanie/wyłączanie skanowania po aktualizacjach analizy zabezpieczeń | mdatp config scan-after-definition-update --value [enabled/disabled] |
Konfiguracja | Włączanie/wyłączanie skanowania archiwum (tylko skanowanie na żądanie) | mdatp config scan-archives --value [enabled/disabled] |
Konfiguracja | Włączanie/wyłączanie obliczeń skrótów plików | mdatp config enable-file-hash-computation --value [enabled/disabled] |
Diagnostyka | Zmienianie poziomu dziennika | mdatp log level set --level verbose [error|warning|info|verbose] |
Diagnostyka | Generowanie dzienników diagnostycznych | mdatp diagnostic create --path [directory] |
Diagnostyka | Limity rozmiarów dla zachowanych dzienników produktów | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
Kondycja | Sprawdzanie kondycji produktu | mdatp health |
Ochrona | Skanowanie ścieżki | mdatp scan custom --path [path] [--ignore-exclusions] |
Ochrona | Wykonaj szybkie skanowanie | mdatp scan quick |
Ochrona | Wykonaj pełne skanowanie | mdatp scan full |
Ochrona | Anulowanie trwającego skanowania na żądanie | mdatp scan cancel |
Ochrona | Żądanie aktualizacji analizy zabezpieczeń | mdatp definitions update |
Ochrona | Wycofywanie analizy zabezpieczeń do oryginalnego zestawu domyślnego | mdatp definitions restore |
Historia ochrony | Drukowanie pełnej historii ochrony | mdatp threat list |
Historia ochrony | Uzyskiwanie szczegółów zagrożeń | mdatp threat get --id [threat-id] |
Zarządzanie kwarantanną | Wyświetl listę wszystkich plików poddanych kwarantannie | mdatp threat quarantine list |
Zarządzanie kwarantanną | Usuwanie wszystkich plików z kwarantanny | mdatp threat quarantine remove-all |
Zarządzanie kwarantanną | Dodawanie pliku wykrytego jako zagrożenie do kwarantanny | mdatp threat quarantine add --id [threat-id] |
Zarządzanie kwarantanną | Usuwanie pliku wykrytego jako zagrożenie z kwarantanny | mdatp threat quarantine remove --id [threat-id] |
Zarządzanie kwarantanną | Przywróć plik z kwarantanny. Dostępne w usłudze Defender for Endpoint w wersji niższej niż 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
Zarządzanie kwarantanną | Przywróć plik z kwarantanny przy użyciu identyfikatora zagrożenia. Dostępne w usłudze Defender for Endpoint w wersji 101.23092.0012 lub nowszej. | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
Zarządzanie kwarantanną | Przywróć plik z kwarantanny przy użyciu oryginalnej ścieżki zagrożenia. Dostępne w usłudze Defender for Endpoint w wersji 101.23092.0012 lub nowszej. | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
Wykrywanie i reagowanie na punkty końcowe | Ustawianie wczesnej wersji zapoznawczej | mdatp edr early-preview [enabled\|disabled] |
Wykrywanie i reagowanie na punkty końcowe | Ustawianie identyfikatora grupy | mdatp edr group-ids --group-id [group-id] |
Wykrywanie i reagowanie na punkty końcowe | Ustawianie/usuwanie tagu, obsługiwane tylko GROUP |
mdatp edr tag set --name GROUP --value [tag] |
Wykrywanie i reagowanie na punkty końcowe | Wykluczenia listy (główny) | mdatp edr exclusion list [processes|paths|extensions|all] |
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.