Zasoby

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Zbieranie informacji diagnostycznych

Jeśli możesz odtworzyć problem, najpierw zwiększ poziom rejestrowania, uruchom system przez jakiś czas, a następnie przywróć domyślny poziom rejestrowania.

  1. Zwiększ poziom rejestrowania:

    mdatp log level set --level debug

    Log level configured successfully

  2. Odtwórz problem.

  3. Uruchom następujące polecenie, aby utworzyć kopię zapasową usługi Defender dla dzienników punktu końcowego. Pliki będą przechowywane w archiwum .zip.

    sudo mdatp diagnostic create

    To polecenie spowoduje również wyświetlenie ścieżki pliku do kopii zapasowej po pomyślnym wykonaniu operacji:

    Diagnostic file created: <path to file>

  4. Poziom rejestrowania przywracania:

    mdatp log level set --level info

    Log level configured successfully

Problemy z instalacją dziennika

Jeśli podczas instalacji wystąpi błąd, instalator zgłosi tylko ogólny błąd.

Szczegółowy dziennik zostanie zapisany w /var/log/microsoft/mdatp/install.logpliku . Jeśli podczas instalacji wystąpią problemy, wyślij do nas ten plik, abyśmy mogli pomóc w zdiagnozowaniu przyczyny.

Odinstalowywanie usługi Defender dla punktu końcowego w systemie Linux

Istnieje kilka sposobów odinstalowania usługi Defender for Endpoint w systemie Linux. Jeśli używasz narzędzia konfiguracji, takiego jak Puppet, postępuj zgodnie z instrukcjami dezinstalacji pakietu dla narzędzia konfiguracji.

Ręczne odinstalowywanie

  • sudo yum remove mdatp dla RHEL i wariantów (CentOS i Oracle Linux).
  • sudo zypper remove mdatp dla SLES i wariantów.
  • sudo apt-get purge mdatp systemów Ubuntu i Debian.
  • sudo dnf remove mdatp dla marynarza

Konfigurowanie z poziomu wiersza polecenia

Ważne zadania, takie jak kontrolowanie ustawień produktu i wyzwalanie skanowania na żądanie, można wykonać z poziomu wiersza polecenia.

Opcje globalne

Domyślnie narzędzie wiersza polecenia generuje wynik w formacie czytelnym dla człowieka. Ponadto narzędzie obsługuje również wyprowadzanie wyniku w formacie JSON, co jest przydatne w scenariuszach automatyzacji. Aby zmienić dane wyjściowe na JSON, przekaż --output json dowolne z poniższych poleceń.

Obsługiwane polecenia

W poniższej tabeli wymieniono polecenia dla niektórych typowych scenariuszy. Uruchom mdatp help polecenie z poziomu terminalu, aby wyświetlić pełną listę obsługiwanych poleceń.


Grupa Scenariusz Polecenia
Konfiguracja Włączanie/wyłączanie ochrony w czasie rzeczywistym mdatp config real-time-protection --value [enabled\|disabled]
Konfiguracja Włączanie/wyłączanie monitorowania zachowania mdatp config behavior-monitoring --value [enabled\|disabled]
Konfiguracja Włączanie/wyłączanie ochrony w chmurze mdatp config cloud --value [enabled\|disabled]
Konfiguracja Włączanie/wyłączanie diagnostyki produktu mdatp config cloud-diagnostic --value [enabled\|disabled]
Konfiguracja Włączanie/wyłączanie automatycznego przesyłania przykładów mdatp config cloud-automatic-sample-submission --value [enabled\|disabled]
Konfiguracja Włączanie/wyłączanie trybu pasywnego AV mdatp config passive-mode --value [enabled\|disabled]
Konfiguracja Dodawanie/usuwanie wykluczenia programu antywirusowego dla rozszerzenia pliku mdatp exclusion extension [add\|remove] --name [extension]
Konfiguracja Dodawanie/usuwanie wykluczenia programu antywirusowego dla pliku mdatp exclusion file [add\|remove] --path [path-to-file]
Konfiguracja Dodawanie/usuwanie wykluczenia programu antywirusowego dla katalogu mdatp exclusion folder [add\|remove] --path [path-to-directory]
Konfiguracja Dodawanie/usuwanie wykluczenia programu antywirusowego dla procesu mdatp exclusion process [add\|remove] --path [path-to-process]

mdatp exclusion process [add\|remove] --name [process-name]
Konfiguracja Wyświetl listę wszystkich wykluczeń programu antywirusowego mdatp exclusion list
Konfiguracja Dodawanie nazwy zagrożenia do listy dozwolonych mdatp threat allowed add --name [threat-name]
Konfiguracja Usuwanie nazwy zagrożenia z listy dozwolonych mdatp threat allowed remove --name [threat-name]
Konfiguracja Wyświetl listę wszystkich dozwolonych nazw zagrożeń mdatp threat allowed list
Konfiguracja Włączanie ochrony pua mdatp threat policy set --type potentially_unwanted_application --action block
Konfiguracja Wyłączanie ochrony pua mdatp threat policy set --type potentially_unwanted_application --action off
Konfiguracja Włączanie trybu inspekcji w celu ochrony pua mdatp threat policy set --type potentially_unwanted_application --action audit
Konfiguracja Konfigurowanie stopnia równoległości na potrzeby skanowania na żądanie mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Konfiguracja Włączanie/wyłączanie skanowania po aktualizacjach analizy zabezpieczeń mdatp config scan-after-definition-update --value [enabled/disabled]
Konfiguracja Włączanie/wyłączanie skanowania archiwum (tylko skanowanie na żądanie) mdatp config scan-archives --value [enabled/disabled]
Konfiguracja Włączanie/wyłączanie obliczeń skrótów plików mdatp config enable-file-hash-computation --value [enabled/disabled]
Diagnostyka Zmienianie poziomu dziennika mdatp log level set --level verbose [error|warning|info|verbose]
Diagnostyka Generowanie dzienników diagnostycznych mdatp diagnostic create --path [directory]
Diagnostyka Limity rozmiarów dla zachowanych dzienników produktów mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB]
Kondycja Sprawdzanie kondycji produktu mdatp health
Ochrony Skanowanie ścieżki mdatp scan custom --path [path] [--ignore-exclusions]
Ochrony Wykonaj szybkie skanowanie mdatp scan quick
Ochrony Wykonaj pełne skanowanie mdatp scan full
Ochrony Anulowanie trwającego skanowania na żądanie mdatp scan cancel
Ochrony Żądanie aktualizacji analizy zabezpieczeń mdatp definitions update
Historia ochrony Drukowanie pełnej historii ochrony mdatp threat list
Historia ochrony Uzyskiwanie szczegółów zagrożeń mdatp threat get --id [threat-id]
Zarządzanie kwarantanną Wyświetl listę wszystkich plików poddanych kwarantannie mdatp threat quarantine list
Zarządzanie kwarantanną Usuwanie wszystkich plików z kwarantanny mdatp threat quarantine remove-all
Zarządzanie kwarantanną Dodawanie pliku wykrytego jako zagrożenie do kwarantanny mdatp threat quarantine add --id [threat-id]
Zarządzanie kwarantanną Usuwanie pliku wykrytego jako zagrożenie z kwarantanny mdatp threat quarantine remove --id [threat-id]
Zarządzanie kwarantanną Przywróć plik z kwarantanny. Dostępne w usłudze Defender for Endpoint w wersji niższej niż 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Zarządzanie kwarantanną Przywróć plik z kwarantanny przy użyciu identyfikatora zagrożenia. Dostępne w usłudze Defender for Endpoint w wersji 101.23092.0012 lub nowszej. mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder]
Zarządzanie kwarantanną Przywróć plik z kwarantanny przy użyciu oryginalnej ścieżki zagrożenia. Dostępne w usłudze Defender for Endpoint w wersji 101.23092.0012 lub nowszej. mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Wykrywanie i reagowanie na punkty końcowe Ustawianie wczesnej wersji zapoznawczej mdatp edr early-preview [enabled\|disabled]
Wykrywanie i reagowanie na punkty końcowe Ustawianie identyfikatora grupy mdatp edr group-ids --group-id [group-id]
Wykrywanie i reagowanie na punkty końcowe Ustawianie/usuwanie tagu, obsługiwane tylko GROUP mdatp edr tag set --name GROUP --value [tag]
Wykrywanie i reagowanie na punkty końcowe Wykluczenia listy (główny) mdatp edr exclusion list [processes|paths|extensions|all]

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.