Agendar verificações com Microsoft Defender para Ponto de Extremidade no macOS
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Agendar uma verificação interna para Microsoft Defender para Ponto de Extremidade no macOS
Embora você possa iniciar uma verificação de ameaças a qualquer momento com Microsoft Defender para Ponto de Extremidade, sua empresa pode se beneficiar de exames agendados ou agendados. Por exemplo, você pode agendar uma verificação para ser executada no início de cada dia de trabalho ou semana.
Há três tipos de exames agendados que são configuráveis: exames por hora, diários e semanais. As verificações agendadas por hora e diárias sempre são executadas como verificações rápidas, as verificações semanais podem ser configuradas para serem verificações rápidas ou completas. É possível ter todos os três tipos de exames agendados ao mesmo tempo. Confira os exemplos abaixo.
Pré-requisitos:
- Versão do Platform Update: 101.23122.0005 ou mais recente
Agendar uma verificação com Microsoft Defender para Ponto de Extremidade no macOS
Você pode criar uma verificação agendada para seu macOS, que é interna para Microsoft Defender para Ponto de Extremidade no macOS.
Para obter mais informações sobre o formato de arquivo .plist usado aqui, consulte Sobre arquivos de lista de propriedades de informações no site oficial do desenvolvedor da Apple.
O exemplo a seguir mostra a configuração diária e/ou semanal para a verificação agendada no macOS.
Dica
Os agendamentos são baseados no fuso horário local do dispositivo.
Parâmetro | Os valores aceitáveis para esse parâmetro são: |
---|---|
scheduledScan | habilitado ou desabilitado |
scanType | rápido ou cheio |
ignoreExclusions | true ou false |
lowPriorityScheduledScan | true ou false |
dayOfWeek | O intervalo é entre 0 e 8. - 0: Todos os dias - 1: domingo - 2: segunda-feira - 3: terça-feira - 4: quarta-feira - 5: quinta-feira - 6: sexta-feira - 7: sábado - 8: Nunca |
Timeofday | Especifica a hora do dia, como o número de minutos após a meia-noite, para executar uma verificação agendada. A hora refere-se à hora local no computador. Se você não especificar um valor para esse parâmetro, uma verificação agendada será executada em um horário padrão de duas horas após a meia-noite. |
interval | 0 (nunca), a cada 1 (hora) a 24 (horas, 1 verificação por dia) |
randomizeScanStartTime | Aplicável somente para verificações rápidas diárias ou verificações semanais rápidas/completas. Randomize a hora de início da verificação até o número de horas especificado. Por exemplo, se uma verificação for agendada para as 14h e randomizarScanStartTime estiver definida como 2, a verificação começará em um horário aleatório entre 14h e 16h. |
Sua verificação agendada é executada na data, hora e frequência que você definiu na sua lista de verificação.
Exemplo 1: Agendar uma verificação rápida diária e uma verificação completa semanal usando uma plist
No exemplo a seguir, a configuração de verificação rápida diária está definida para ser executada em 885 minutos após a meia-noite (14h45).
A configuração semanal está definida para executar uma verificação completa na quarta-feira às 880 minutos após a meia-noite (14h40).
E ele está definido para ignorar exclusões e executar uma verificação de baixa prioridade.
O código a seguir mostra o esquema que você precisa usar para agendar verificações de acordo com os requisitos acima.
- Abra um editor de texto e use este exemplo como um guia para seu próprio arquivo de verificação agendado.
Para Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- Salve o arquivo como com.microsoft.wdav.mobileconfig.
Para JamF e outros MDMs de terceiros:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Salve o arquivo como com.microsoft.wdav.plist.
Verifique se a verificação agendada está configurada por meio de um "Definir preferência"
mdatp health --details scheduled_scan
Nos resultados, você deve ser capaz de ver [gerenciado].
Exemplo 2: Agendar uma verificação rápida por hora, uma verificação rápida diária e uma verificação completa semanal usando uma plist
No exemplo a seguir, uma verificação rápida por hora será executada a cada 6 horas, uma configuração de verificação rápida diária está definida para ser executada em 885 minutos após a meia-noite (14h45), e uma verificação completa semanal será executada às quartas-feiras às 880 minutos após a meia-noite (14h40).
Para Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Salve o arquivo como com.microsoft.wdav.mobileconfig.
Para JamF e outros MDMs de terceiros:
- Abra um editor de texto e use este exemplo.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Salve o arquivo como com.microsoft.wdav.plist.
Verifique se a verificação agendada está configurada por meio de um "Definir preferência"
mdatp health --details scheduled_scan
Nos resultados, você deve ser capaz de ver [gerenciado].
Opção 3: configurar verificações agendadas por meio da ferramenta CLI
Para habilitar o recurso de verificação agendado:
Versão | Comando |
---|---|
Versão 101.23122.* ou superior | sudo mdatp config scheduled-scan settings feature --value enabled |
Para agendar verificações rápidas por hora:
Versão | Comando |
---|---|
Versão 101.23122.* ou superior | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Para agendar verificações rápidas diárias:
Versão | Comando |
---|---|
Versão 101.23122.* ou superior | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Para agendar exames semanais:
Versão | Comando |
---|---|
Versão 101.23122.* ou superior | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Para outras opções de configuração:
Para marcar para atualização de definições antes das verificações agendadas:
sudo mdatp config scheduled-scan settings check-for-definitions --value true
Para usar threads de baixa prioridade para a verificação agendada:
sudo mdatp config scheduled-scan settings low-priority --value true
Verifique se a verificação agendada foi executada
Use o seguinte comando:
mdatp scan list
\<snip\>
Importante
As verificações agendadas não são executadas na hora agendada enquanto o dispositivo está dormindo. Em vez disso, as verificações agendadas são executadas quando o dispositivo é retomado do modo de sono. Se o dispositivo estiver desativado, a verificação será executada na próxima hora de verificação agendada.
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.