Zasoby
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Zbieranie informacji diagnostycznych
Jeśli możesz odtworzyć problem, najpierw zwiększ poziom rejestrowania, uruchom system przez jakiś czas, a następnie przywróć domyślny poziom rejestrowania.
Zwiększ poziom rejestrowania:
mdatp log level set --level debugLog level configured successfullyOdtwórz problem.
Uruchom następujące polecenie, aby utworzyć kopię zapasową usługi Defender dla dzienników punktu końcowego. Pliki będą przechowywane w archiwum .zip.
sudo mdatp diagnostic createTo polecenie spowoduje również wyświetlenie ścieżki pliku do kopii zapasowej po pomyślnym wykonaniu operacji:
Diagnostic file created: <path to file>Poziom rejestrowania przywracania:
mdatp log level set --level infoLog level configured successfully
Problemy z instalacją dziennika
Jeśli podczas instalacji wystąpi błąd, instalator zgłosi tylko ogólny błąd.
Szczegółowy dziennik zostanie zapisany w /var/log/microsoft/mdatp/install.logpliku .
Jeśli podczas instalacji wystąpią problemy, wyślij do nas ten plik, abyśmy mogli pomóc w zdiagnozowaniu przyczyny.
Odinstalowywanie usługi Defender dla punktu końcowego w systemie Linux
Istnieje kilka sposobów odinstalowania usługi Defender for Endpoint w systemie Linux. Jeśli używasz narzędzia konfiguracji, takiego jak Puppet, postępuj zgodnie z instrukcjami dezinstalacji pakietu dla narzędzia konfiguracji.
Ręczne odinstalowywanie
-
sudo yum remove mdatpdla RHEL i wariantów (CentOS i Oracle Linux). -
sudo zypper remove mdatpdla SLES i wariantów. -
sudo apt-get purge mdatpsystemów Ubuntu i Debian. -
sudo dnf remove mdatpdla marynarza
Konfigurowanie z poziomu wiersza polecenia
Ważne zadania, takie jak kontrolowanie ustawień produktu i wyzwalanie skanowania na żądanie, można wykonać z poziomu wiersza polecenia.
Opcje globalne
Domyślnie narzędzie wiersza polecenia generuje wynik w formacie czytelnym dla człowieka. Ponadto narzędzie obsługuje również wyprowadzanie wyniku w formacie JSON, co jest przydatne w scenariuszach automatyzacji. Aby zmienić dane wyjściowe na JSON, przekaż --output json dowolne z poniższych poleceń.
Obsługiwane polecenia
W poniższej tabeli wymieniono polecenia dla niektórych typowych scenariuszy. Uruchom mdatp help polecenie z poziomu terminalu, aby wyświetlić pełną listę obsługiwanych poleceń.
| Grupa | Scenariusz | Polecenie |
|---|---|---|
| Konfiguracja | Włączanie/wyłączanie ochrony w czasie rzeczywistym | mdatp config real-time-protection --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie monitorowania zachowania | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie ochrony w chmurze | mdatp config cloud --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie diagnostyki produktu | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie automatycznego przesyłania przykładów | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie trybu pasywnego AV | mdatp config passive-mode --value [enabled\|disabled] |
| Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla rozszerzenia pliku | mdatp exclusion extension [add\|remove] --name [extension] |
| Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla pliku | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla katalogu | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla procesu | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Konfiguracja | Dodawanie/usuwanie globalnego wykluczenia dla pliku | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Konfiguracja | Dodawanie/usuwanie globalnego wykluczenia dla katalogu | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Konfiguracja | Dodawanie/usuwanie globalnego wykluczenia dla procesu | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Konfiguracja | Wyświetl listę wszystkich wykluczeń programu antywirusowego | mdatp exclusion list |
| Konfiguracja | Dodawanie nazwy zagrożenia do listy dozwolonych | mdatp threat allowed add --name [threat-name] |
| Konfiguracja | Usuwanie nazwy zagrożenia z listy dozwolonych | mdatp threat allowed remove --name [threat-name] |
| Konfiguracja | Wyświetl listę wszystkich dozwolonych nazw zagrożeń | mdatp threat allowed list |
| Konfiguracja | Włączanie ochrony pua | mdatp threat policy set --type potentially_unwanted_application --action block |
| Konfiguracja | Wyłączanie ochrony pua | mdatp threat policy set --type potentially_unwanted_application --action off |
| Konfiguracja | Włączanie trybu inspekcji w celu ochrony pua | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Konfiguracja | Konfigurowanie stopnia równoległości na potrzeby skanowania na żądanie | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfiguracja | Włączanie/wyłączanie skanowania po aktualizacjach analizy zabezpieczeń | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfiguracja | Włączanie/wyłączanie skanowania archiwum (tylko skanowanie na żądanie) | mdatp config scan-archives --value [enabled/disabled] |
| Konfiguracja | Włączanie/wyłączanie obliczeń skrótów plików | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Diagnostyka | Zmienianie poziomu dziennika | mdatp log level set --level verbose [error|warning|info|verbose] |
| Diagnostyka | Generowanie dzienników diagnostycznych | mdatp diagnostic create --path [directory] |
| Diagnostyka | Limity rozmiarów dla zachowanych dzienników produktów | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Kondycja | Sprawdzanie kondycji produktu | mdatp health |
| Ochrona | Skanowanie ścieżki | mdatp scan custom --path [path] [--ignore-exclusions] |
| Ochrona | Wykonaj szybkie skanowanie | mdatp scan quick |
| Ochrona | Wykonaj pełne skanowanie | mdatp scan full |
| Ochrona | Anulowanie trwającego skanowania na żądanie | mdatp scan cancel |
| Ochrona | Żądanie aktualizacji analizy zabezpieczeń | mdatp definitions update |
| Ochrona | Wycofywanie analizy zabezpieczeń do oryginalnego zestawu domyślnego | mdatp definitions restore |
| Historia ochrony | Drukowanie pełnej historii ochrony | mdatp threat list |
| Historia ochrony | Uzyskiwanie szczegółów zagrożeń | mdatp threat get --id [threat-id] |
| Zarządzanie kwarantanną | Wyświetl listę wszystkich plików poddanych kwarantannie | mdatp threat quarantine list |
| Zarządzanie kwarantanną | Usuwanie wszystkich plików z kwarantanny | mdatp threat quarantine remove-all |
| Zarządzanie kwarantanną | Dodawanie pliku wykrytego jako zagrożenie do kwarantanny | mdatp threat quarantine add --id [threat-id] |
| Zarządzanie kwarantanną | Usuwanie pliku wykrytego jako zagrożenie z kwarantanny | mdatp threat quarantine remove --id [threat-id] |
| Zarządzanie kwarantanną | Przywróć plik z kwarantanny. Dostępne w usłudze Defender for Endpoint w wersji niższej niż 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Zarządzanie kwarantanną | Przywróć plik z kwarantanny przy użyciu identyfikatora zagrożenia. Dostępne w usłudze Defender for Endpoint w wersji 101.23092.0012 lub nowszej. | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Zarządzanie kwarantanną | Przywróć plik z kwarantanny przy użyciu oryginalnej ścieżki zagrożenia. Dostępne w usłudze Defender for Endpoint w wersji 101.23092.0012 lub nowszej. | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Wykrywanie i reagowanie na punkty końcowe | Ustawianie wczesnej wersji zapoznawczej | mdatp edr early-preview [enabled\|disabled] |
| Wykrywanie i reagowanie na punkty końcowe | Ustawianie identyfikatora grupy | mdatp edr group-ids --group-id [group-id] |
| Wykrywanie i reagowanie na punkty końcowe | Ustawianie/usuwanie tagu, obsługiwane tylko GROUP |
mdatp edr tag set --name GROUP --value [tag] |
| Wykrywanie i reagowanie na punkty końcowe | Wykluczenia listy (główny) | mdatp edr exclusion list [processes|paths|extensions|all] |
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.