Introdução ao modo de solução de problemas no Microsoft Defender para Ponto de Extremidade

  • Artigo
  • 7 minutos para o fim da leitura

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Microsoft Defender para Ponto de Extremidade modo de solução de problemas permite solucionar vários Microsoft Defender recursos antivírus, habilitando-os no dispositivo e testando cenários diferentes, mesmo que sejam controlados pela política de organização. O modo de solução de problemas é desabilitado por padrão e exige que você o ative para um dispositivo (e/ou grupo de dispositivos) por um tempo limitado. Observe que esse é exclusivamente um recurso somente enterprise e requer Microsoft 365 Defender acesso.

Do que você precisa saber para começar?

Durante o modo de solução de problemas, você pode usar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell ou, em sistemas operacionais cliente, o aplicativo da Central de Segurança para desabilitar temporariamente a proteção contra adulteração em seu dispositivo e fazer as alterações de configuração necessárias.

  • Use o modo de solução de problemas para desabilitar/alterar a configuração de proteção contra adulteração para executar:

    • Microsoft Defender solução de problemas funcionais do Antivírus /compatibilidade do aplicativo (blocos de aplicativos false positivos).
    • Microsoft Defender solução de problemas de desempenho antivírus usando o modo de solução de problemas e manipulando a proteção contra adulterações e outras configurações antivírus.

  • Se ocorrer um evento de adulteração (por exemplo, o instantâneo for alterado ou excluído), o MpPreference modo de solução de problemas será encerrado e a proteção contra adulteração será habilitada no dispositivo.

  • Os administradores locais, com permissões apropriadas, podem alterar as configurações em pontos de extremidade individuais que geralmente são bloqueados pela política. Ter um dispositivo no modo de solução de problemas pode ser útil ao diagnosticar Microsoft Defender cenários de desempenho e compatibilidade do Antivírus.

    • Os administradores locais não poderão desativar Microsoft Defender Antivírus ou desinstalá-lo.
    • Os administradores locais poderão configurar todas as outras configurações de segurança no pacote antivírus Microsoft Defender (por exemplo, proteção de nuvem, proteção contra adulterações).

  • Administradores com permissões "Gerenciar configurações de segurança" terão acesso para ativar o modo de solução de problemas.

  • Microsoft Defender para Ponto de Extremidade coleta logs e dados de investigação durante todo o processo de solução de problemas.

    • O instantâneo de será feito antes do MpPreference início do modo de solução de problemas.

    • O segundo instantâneo será feito pouco antes do modo de solução de problemas expirar.

    • Os logs operacionais de durante o modo de solução de problemas também serão coletados.

    • Todos os logs e instantâneos acima serão coletados e estarão disponíveis para um administrador coletar usando o recurso Coletar pacote de investigação na página do dispositivo. Observe que a Microsoft não removerá esses dados do dispositivo até que um administrador os colete.

  • Os administradores também podem examinar as alterações nas configurações que ocorrem durante o modo de solução de problemas no Visualizador de Eventos na página do dispositivo.

  • O modo de solução de problemas é desativado automaticamente após atingir o tempo de validade (ele dura 3 horas). Após a expiração, todas as configurações gerenciadas por políticas se tornarão somente leitura novamente e voltarão a ser como era antes de definir o modo de solução de problemas.

  • Pode levar até 15 minutos a partir do momento em que o comando é enviado de Microsoft 365 Defender para quando ele se torna ativo no dispositivo.

  • A notificação será enviada ao usuário final quando o modo de solução de problemas começar e quando o modo de solução de problemas terminar. Um aviso também será enviado notificando que ele terminará em breve.

  • O início e o término do modo de solução de problemas serão identificados na Linha do Tempo do Dispositivo na página do dispositivo.

  • Você pode consultar todos os eventos do modo de solução de problemas na caça avançada.

Observação

As alterações de gerenciamento de políticas serão aplicadas ao computador quando ele estiver ativamente no modo de solução de problemas. No entanto, as alterações não entrarão em vigor até que o modo de solução de problemas expire. Além disso, Microsoft Defender atualizações da Plataforma Antivírus não serão aplicadas durante o modo de solução de problemas. As atualizações de plataforma serão aplicadas quando o modo de solução de problemas terminar com uma atualização do Windows.

Pré-requisitos

Habilitar o modo de solução de problemas

  1. Acesse o portal Microsoft 365 Defender (https://security.microsoft.com) e entre.

  2. Navegue até a página/máquina do dispositivo para o dispositivo que você deseja ativar o modo de solução de problemas. Selecione Ativar o modo de solução de problemas. Observe que isso requer permissões "Gerenciar configurações de segurança na Central de Segurança" para Microsoft Defender para Ponto de Extremidade.

    Ativar o modo de solução de problemas

  3. Confirme se deseja ativar o modo de solução de problemas para o dispositivo.

    O flyout de configuração

  4. A página do dispositivo mostra que o dispositivo está agora no modo de solução de problemas.

    O dispositivo agora está no modo de solução de problemas

Consultas de caça avançadas

Aqui estão algumas consultas de caça avançadas pré-criadas para dar visibilidade aos eventos de solução de problemas que estão ocorrendo em seu ambiente. Você também pode usar essas consultas para criar regras de detecção que alertam quando os dispositivos estão no modo de solução de problemas.

Obter eventos de solução de problemas para um determinado dispositivo

Pesquise por deviceId ou deviceName comentando as respectivas linhas.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos atualmente no modo de solução de problemas

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Contagem de instâncias de modo de solução de problemas por dispositivo

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Contagem total

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Dica

Dica de desempenho Devido a uma variedade de fatores (exemplos listados abaixo) Microsoft Defender Antivírus, como outros softwares antivírus, podem causar problemas de desempenho em dispositivos de ponto de extremidade. Em alguns casos, talvez seja necessário ajustar o desempenho de Microsoft Defender Antivírus para aliviar esses problemas de desempenho. O analisador de desempenho da Microsoft é uma ferramenta de linha de comando do PowerShell que ajuda a determinar quais arquivos, caminhos de arquivo, processos e extensões de arquivo podem estar causando problemas de desempenho; alguns exemplos são:

  • Principais caminhos que afetam o tempo de verificação
  • Principais arquivos que afetam o tempo de verificação
  • Principais processos que afetam o tempo de verificação
  • Principais extensões de arquivo que afetam o tempo de verificação
  • Combinações – por exemplo:
    • arquivos superiores por extensão
    • caminhos superiores por extensão
    • principais processos por caminho
    • verificações superiores por arquivo
    • verificações superiores por arquivo por processo

Você pode usar as informações coletadas usando o analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de correção. Consulte: Analisador de desempenho para Microsoft Defender Antivírus.