Planowanie skanowania za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Planowanie wbudowanego skanowania w celu Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
Skanowanie zagrożeń można rozpocząć w dowolnym momencie przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender, ale przedsiębiorstwo może korzystać z zaplanowanych lub zaplanowanych skanów. Możesz na przykład zaplanować uruchomienie skanowania na początku każdego dnia roboczego lub tygodnia.
Istnieją trzy typy zaplanowanych skanów, które można skonfigurować: skanowanie godzinowe, codzienne i cotygodniowe. Co godzinę i codziennie zaplanowane skanowanie jest zawsze uruchamiane jako szybkie skanowanie, co tydzień można skonfigurować skanowanie w celu szybkiego lub pełnego skanowania. Możliwe jest jednoczesne przeprowadzanie wszystkich trzech typów zaplanowanych skanów. Zapoznaj się z poniższymi przykładami.
Wymagania wstępne:
- Wersja aktualizacji platformy: 101.23122.0005 lub nowsza
Planowanie skanowania za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
Możesz utworzyć zaplanowane skanowanie dla systemu macOS, które jest wbudowane w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
Aby uzyskać więcej informacji na temat formatu pliku plist używanego tutaj, zobacz About Information Property List Files (Informacje o plikach listy właściwości informacji ) na oficjalnej stronie dewelopera firmy Apple.
Poniższy przykład przedstawia codzienną i/lub cotygodniową konfigurację zaplanowanego skanowania w systemie macOS.
Porada
Harmonogramy są oparte na lokalnej strefie czasowej urządzenia.
Parametr | Dopuszczalne wartości dla tego parametru to: |
---|---|
scheduledScan | włączone lub wyłączone |
scanType | szybkie lub pełne |
ignoreExclusions | true lub false |
lowPriorityScheduledScan | true lub false |
Dayofweek | Zakres wynosi od 0 do 8. - 0: Codziennie - 1: niedziela - 2: poniedziałek - 3: wtorek - 4: środa - 5: czwartek - 6: piątek - 7: sobota - 8: Nigdy nie |
Timeofday | Określa godzinę dnia, jako liczbę minut po północy, aby przeprowadzić zaplanowane skanowanie. Czas odnosi się do czasu lokalnego na komputerze. Jeśli nie określisz wartości dla tego parametru, zaplanowane skanowanie zostanie uruchomione o domyślnej godzinie dwóch godzin po północy. |
Interwał | 0 (nigdy), co 1 (godzina) do 24 (godziny, 1 skanowanie dziennie) |
randomizeScanStartTime | Dotyczy tylko codziennych szybkich skanów lub cotygodniowych szybkich/pełnych skanów. Losowa godzina rozpoczęcia skanowania do określonej liczby godzin. Jeśli na przykład skanowanie jest zaplanowane na godzinę 14:00 i losoweScanStartTime ma wartość 2, skanowanie rozpoczyna się w losowym czasie między 14:00 a 16:00. |
Zaplanowane skanowanie jest uruchamiane w dniu, godzinie i częstotliwości zdefiniowanej w pliku plist.
Przykład 1: Planowanie codziennego szybkiego skanowania i cotygodniowego pełnego skanowania przy użyciu narzędzia plist
W poniższym przykładzie konfiguracja codziennego szybkiego skanowania jest ustawiona na 885 minut po północy (14:45).
Konfiguracja tygodniowa ma uruchomić pełne skanowanie w środę o 880 minut po północy (14:40).
Jest ona ustawiona na ignorowanie wykluczeń i uruchamianie skanowania o niskim priorytecie.
Poniższy kod przedstawia schemat, którego należy użyć do planowania skanowania zgodnie z powyższymi wymaganiami.
- Otwórz edytor tekstów i użyj tego przykładu jako przewodnika dla własnego pliku zaplanowanego skanowania.
W przypadku Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- Zapisz plik jako com.microsoft.wdav.mobileconfig.
W przypadku oprogramowania JamF i innych urządzeń MDM innych firm:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Zapisz plik jako com.microsoft.wdav.plist.
Sprawdź, czy zaplanowane skanowanie jest skonfigurowane za pomocą opcji "Ustaw preferencję"
mdatp health --details scheduled_scan
W wynikach powinno być widoczne [zarządzane].
Przykład 2: Planowanie godzinnego szybkiego skanowania, codziennego szybkiego skanowania i cotygodniowego pełnego skanowania przy użyciu narzędzia plist
W poniższym przykładzie godzinne szybkie skanowanie będzie uruchamiane co 6 godzin, a codzienna konfiguracja szybkiego skanowania jest ustawiana na 885 minut po północy (14:45), a pełne skanowanie tygodniowe będzie uruchamiane w środy o 880 minut po północy (14:40).
W przypadku Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Zapisz plik jako com.microsoft.wdav.mobileconfig.
W przypadku oprogramowania JamF i innych urządzeń MDM innych firm:
- Otwórz edytor tekstów i użyj tego przykładu.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Zapisz plik jako com.microsoft.wdav.plist.
Sprawdź, czy zaplanowane skanowanie jest skonfigurowane za pomocą opcji "Ustaw preferencję"
mdatp health --details scheduled_scan
W wynikach powinno być widoczne [zarządzane].
Opcja 3. Konfigurowanie zaplanowanych skanów za pomocą narzędzia interfejsu wiersza polecenia
Aby włączyć funkcję zaplanowanego skanowania:
Wersja | Polecenia |
---|---|
Wersja 101.23122.* lub nowsza | sudo mdatp config scheduled-scan settings feature --value enabled |
Aby zaplanować szybkie skanowanie godzinowe:
Wersja | Polecenia |
---|---|
Wersja 101.23122.* lub nowsza | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Aby zaplanować codzienne szybkie skanowanie:
Wersja | Polecenia |
---|---|
Wersja 101.23122.* lub nowsza | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Aby zaplanować cotygodniowe skanowanie:
Wersja | Polecenia |
---|---|
Wersja 101.23122.* lub nowsza | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
W przypadku innych opcji konfiguracji:
Aby sprawdzić, czy definicje są aktualizowane przed zaplanowanymi skanowaniami:
sudo mdatp config scheduled-scan settings check-for-definitions --value true
Aby użyć wątków o niskim priorytecie do zaplanowanego skanowania:
sudo mdatp config scheduled-scan settings low-priority --value true
Sprawdzanie, czy zaplanowane skanowanie zostało uruchomione
Użyj następującego polecenia:
mdatp scan list
\<snip\>
Ważna
Zaplanowane skanowanie nie jest uruchamiane w zaplanowanym czasie, gdy urządzenie jest w stanie uśpienia. Zamiast tego zaplanowane skanowania są uruchamiane, gdy urządzenie wznawia działanie z trybu uśpienia. Jeśli urządzenie jest wyłączone, skanowanie jest uruchamiane w następnym zaplanowanym czasie skanowania.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla