Planowanie skanowania za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Planowanie skanowania wbudowanego w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
Skanowanie zagrożeń można rozpocząć w dowolnym momencie przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender, ale przedsiębiorstwo może korzystać z zaplanowanych lub zaplanowanych skanów. Możesz na przykład zaplanować uruchomienie skanowania na początku każdego dnia roboczego lub tygodnia.
Istnieją trzy typy zaplanowanych skanów, które można skonfigurować: skanowanie godzinowe, codzienne i cotygodniowe. Co godzinę i codziennie zaplanowane skanowanie jest zawsze uruchamiane jako szybkie skanowanie, co tydzień można skonfigurować skanowanie w celu szybkiego lub pełnego skanowania. Możliwe jest jednoczesne przeprowadzanie wszystkich trzech typów zaplanowanych skanów. Zobacz przykłady w tym artykule.
Wymagania wstępne:
- Wersja aktualizacji platformy: 101.23122.0005 lub nowsza
Planowanie skanowania za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
Możesz utworzyć zaplanowane skanowanie dla systemu macOS, które jest wbudowane w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
Aby uzyskać więcej informacji na temat formatu pliku używanego .plist tutaj, zobacz About Information Property List Files (Informacje o plikach listy właściwości informacji ) w oficjalnej witrynie internetowej dewelopera firmy Apple.
Poniższy przykład przedstawia codzienną i/lub cotygodniową konfigurację zaplanowanego skanowania w systemie macOS.
Porada
Harmonogramy są oparte na lokalnej strefie czasowej urządzenia.
| Parametr | Dopuszczalne wartości dla tego parametru to: |
|---|---|
scheduledScan |
enabled lub disabled |
scanType |
quick lub full |
ignoreExclusions |
true lub false |
| lowPriorityScheduledScan |
true lub false |
dayOfWeek |
Zakres znajduje się między 0 i 8. - 0:Codzienny- 1:Niedziela- 2:Poniedziałek- 3:Wtorek- 4:Środa- 5:Czwartek- 6:Piątek- 7:Sobota- 8:Nigdy |
timeOfDay |
Określa godzinę dnia jako liczbę minutes after midnightoperacji skanowania zaplanowanego. Czas odnosi się do czasu lokalnego na komputerze. Jeśli nie określisz wartości dla tego parametru, zaplanowane skanowanie zostanie uruchomione o domyślnej godzinie dwóch godzin po północy. |
interval |
0 (nigdy), every 1 (godzina) do every 24 (godziny, jedno skanowanie dziennie) |
randomizeScanStartTime |
Dotyczy tylko codziennych szybkich skanów lub cotygodniowych szybkich/pełnych skanów. Losowa godzina rozpoczęcia skanowania do określonej liczby godzin. Jeśli na przykład skanowanie jest zaplanowane na godzinę 14:00 i randomizeScanStartTime jest ustawione na 2, skanowanie rozpoczyna się losowo między 14:00 a 16:00. |
Zaplanowane skanowanie jest uruchamiane w dniu, godzinie i częstotliwości zdefiniowanej w elemencie plist.
Przykład 1: Planowanie codziennego szybkiego skanowania i cotygodniowego pełnego skanowania przy użyciu narzędzia plist
W poniższym przykładzie konfiguracja codziennego szybkiego skanowania jest ustawiona na 885 minut po północy (14:45). Konfiguracja tygodniowa ma uruchomić pełne skanowanie w środę o 880 minut po północy (14:40). Jest ona ustawiona na ignorowanie wykluczeń i uruchamianie skanowania o niskim priorytecie.
Poniższy kod przedstawia schemat, którego należy użyć do planowania skanowania zgodnie z wymaganiami wymienionymi wcześniej.
- Otwórz edytor tekstów i użyj tego przykładu jako przewodnika dla własnego pliku zaplanowanego skanowania.
W przypadku Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Zapisz plik jako
com.microsoft.wdav.mobileconfig.
W przypadku oprogramowania JamF i innych urządzeń MDM innych firm
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Zapisz plik jako
com.microsoft.wdav.plist.Sprawdź, czy zaplanowane skanowanie jest skonfigurowane za pomocą opcji "Ustaw preferencję"
mdatp health --details scheduled_scanW wynikach powinno być widoczne [zarządzane].
Przykład 2: Planowanie godzinnego szybkiego skanowania, codziennego szybkiego skanowania i cotygodniowego pełnego skanowania przy użyciu narzędzia plist
W poniższym przykładzie godzinne szybkie skanowanie będzie uruchamiane co 6 godzin, a codzienna konfiguracja szybkiego skanowania jest ustawiana na 885 minut po północy (14:45), a pełne skanowanie tygodniowe będzie uruchamiane w środy o 880 minut po północy (14:40).
W przypadku Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Zapisz plik jako
com.microsoft.wdav.mobileconfig.
W przypadku oprogramowania JamF i innych urządzeń MDM innych firm
- Otwórz edytor tekstów i użyj tego przykładu.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Zapisz plik jako
com.microsoft.wdav.plist.Sprawdź, czy zaplanowane skanowanie jest skonfigurowane za pomocą opcji "Ustaw preferencję"
mdatp health --details scheduled_scanW wynikach powinno być widoczne [zarządzane].
Opcja 3. Konfigurowanie zaplanowanych skanów za pomocą narzędzia interfejsu wiersza polecenia
Aby włączyć funkcję zaplanowanego skanowania:
| Wersja | Polecenie |
|---|---|
| Wersja 101.23122.x lub nowsza | sudo mdatp config scheduled-scan settings feature --value enabled |
Aby zaplanować szybkie skanowanie godzinowe:
| Wersja | Polecenie |
|---|---|
| Wersja 101.23122.x lub nowsza | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Aby zaplanować codzienne szybkie skanowanie:
| Wersja | Polecenie |
|---|---|
| Wersja 101.23122.x lub nowsza | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Aby zaplanować cotygodniowe skanowanie:
| Wersja | Polecenie |
|---|---|
| Wersja 101.23122.x lub nowsza | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
W przypadku innych opcji konfiguracji:
Aby sprawdzić, czy definicje są aktualizowane przed zaplanowanymi skanowaniami:
sudo mdatp config scheduled-scan settings check-for-definitions --value trueAby użyć wątków o niskim priorytecie do zaplanowanego skanowania:
sudo mdatp config scheduled-scan settings low-priority --value true
Sprawdzanie, czy zaplanowane skanowanie zostało uruchomione
Użyj następującego polecenia:
mdatp scan list
\<snip\>
Ważna
Zaplanowane skanowanie nie jest uruchamiane w zaplanowanym czasie, gdy urządzenie jest w stanie uśpienia. Zamiast tego zaplanowane skanowania są uruchamiane, gdy urządzenie wznawia działanie z trybu uśpienia. Jeśli urządzenie jest wyłączone, skanowanie jest uruchamiane w następnym zaplanowanym czasie skanowania.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.