Tryb rozwiązywania problemów w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS

Artykuł
04/27/2024

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

W tym artykule opisano sposób włączania trybu rozwiązywania problemów w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS, aby administratorzy mogli tymczasowo rozwiązywać problemy z różnymi funkcjami programu antywirusowego Microsoft Defender, nawet jeśli zasady organizacyjne zarządzają urządzeniami.

Jeśli na przykład ochrona przed naruszeniami jest włączona, niektórych ustawień nie można modyfikować ani wyłączać, ale możesz użyć trybu rozwiązywania problemów na urządzeniu, aby tymczasowo edytować te ustawienia.

Tryb rozwiązywania problemów jest domyślnie wyłączony i wymaga włączenia go dla urządzenia (i/lub grupy urządzeń) przez ograniczony czas. Tryb rozwiązywania problemów jest wyłącznie funkcją tylko dla przedsiębiorstw i wymaga dostępu do portalu Microsoft Defender.

Co musisz wiedzieć przed rozpoczęciem

W trybie rozwiązywania problemów można:

Użyj Ochrona punktu końcowego w usłudze Microsoft Defender na rozwiązywaniu problemów funkcjonalnych systemu macOS /zgodność aplikacji (wyniki fałszywie dodatnie).

Administratorzy lokalni z odpowiednimi uprawnieniami mogą zmienić następujące konfiguracje zablokowane przez zasady w poszczególnych punktach końcowych:

Ustawienie	Włączyć	Wyłącz/usuń
ochrona Real-Time/ tryb pasywny / na żądanie	`mdatp config real-time-protection --value enabled`	`mdatp config real-time-protection --value disabled`
Ochrona sieci	`mdatp config network-protection enforcement-level --value block`	`mdatp config network-protection enforcement-level --value disabled`
realTimeProtectionStatistics	`mdatp config real-time-protection-statistics --value enabled`	`mdatp config real-time-protection-statistics --value disabled`
Tagi	`mdatp edr tag set --name GROUP --value [name]`	`mdatp edr tag remove --tag-name [name]`
identyfikatory grup	`mdatp edr group-ids --group-id [group]`
Punkt końcowy DLP	`mdatp config data_loss_prevention --value enabled`	`mdatp config data_loss_prevention --value disabled`

W trybie rozwiązywania problemów nie można:

Wyłącz ochronę przed naruszeniami dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
Odinstaluj Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Wymagania wstępne

Obsługiwana wersja systemu macOS dla Ochrona punktu końcowego w usłudze Microsoft Defender.
Ochrona punktu końcowego w usłudze Microsoft Defender musi być zarejestrowana w dzierżawie i aktywna na urządzeniu.
Uprawnienia do "Zarządzanie ustawieniami zabezpieczeń w usłudze Security Center" w Ochrona punktu końcowego w usłudze Microsoft Defender.
Wersja aktualizacji platformy: 101.23122.0005 lub nowsza.

Włączanie trybu rozwiązywania problemów w systemie macOS

Przejdź do portalu Microsoft Defender i zaloguj się.
Przejdź do strony urządzenia, na którą chcesz włączyć tryb rozwiązywania problemów. Następnie wybierz wielokropek(...) i wybierz pozycję Włącz tryb rozwiązywania problemów.

Uwaga

Opcja Włącz tryb rozwiązywania problemów jest dostępna na wszystkich urządzeniach, nawet jeśli urządzenie nie spełnia wymagań wstępnych dotyczących trybu rozwiązywania problemów.
Przeczytaj informacje wyświetlane w okienku, a gdy wszystko będzie gotowe, wybierz pozycję Prześlij , aby potwierdzić, że chcesz włączyć tryb rozwiązywania problemów dla tego urządzenia.
Zobaczysz, że wyświetlenie zmiany może potrwać kilka minut . W tym czasie po ponownym wybraniu wielokropka zostanie wyświetlona opcja Włącz tryb rozwiązywania problemów oczekuje na wyszarzone.
Po zakończeniu strona urządzenia pokazuje, że urządzenie jest teraz w trybie rozwiązywania problemów.

Jeśli użytkownik końcowy jest zalogowany na urządzeniu z systemem macOS, zobaczy następujący tekst:

Tryb rozwiązywania problemów został uruchomiony. Ten tryb umożliwia tymczasową zmianę ustawień zarządzanych przez administratora. Wygasa o YEAR-MM-DDTHH:MM:SSZ.

Wybierz przycisk OK.
Po włączeniu można przetestować różne opcje wiersza polecenia, które można przełączać w trybie rozwiązywania problemów (tryb TS).

Jeśli na przykład użyjesz mdatp config real-time-protection --value disabled polecenia , aby wyłączyć ochronę w czasie rzeczywistym, zostanie wyświetlony monit o wprowadzenie hasła. Po wprowadzeniu hasła wybierz przycisk OK .

Raport wyjściowy podobny do poniższego zrzutu ekranu zostanie wyświetlony podczas uruchamiania programu mdatp health z wartością real_time_protection_enabled "false" i tamper_protection "block".

Zaawansowane zapytania dotyczące wyszukiwania zagrożeń w celu wykrywania

Istnieje kilka wstępnie utworzonych zaawansowanych zapytań dotyczących wyszukiwania zagrożeń, które zapewniają wgląd w zdarzenia rozwiązywania problemów występujące w danym środowisku. Te zapytania umożliwiają tworzenie reguł wykrywania w celu generowania alertów, gdy urządzenia są w trybie rozwiązywania problemów.

Pobieranie zdarzeń rozwiązywania problemów dla określonego urządzenia

Poniższe zapytanie umożliwia wyszukiwanie według deviceId odpowiednich wierszy lub deviceName komentowanie ich.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Urządzenia aktualnie w trybie rozwiązywania problemów

Urządzenia, które są obecnie w trybie rozwiązywania problemów, można znaleźć przy użyciu następującego zapytania:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Liczba wystąpień trybu rozwiązywania problemów według urządzenia

Liczbę wystąpień trybu rozwiązywania problemów dla urządzenia można znaleźć przy użyciu następującego zapytania:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Łączna liczba

Łączną liczbę wystąpień trybu rozwiązywania problemów można poznać przy użyciu następującego zapytania:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Zalecana zawartość

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.