Introdução ao modo de resolução de problemas no Microsoft Defender para Endpoint

Aplica-se a:

• Microsoft Defender para Endpoint
• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O modo de resolução de problemas no Microsoft Defender para Endpoint permite que os administradores resolvam vários Microsoft Defender funcionalidades do Antivírus, mesmo que os dispositivos sejam geridos por políticas organizacionais. Por exemplo, se a proteção contra adulteração estiver ativada, determinadas definições não podem ser modificadas ou desativadas, mas pode utilizar o modo de resolução de problemas num dispositivo para editar essas definições temporariamente.

O modo de resolução de problemas está desativado por predefinição e requer que o ative para um dispositivo (e/ou grupo de dispositivos) durante um período de tempo limitado. O modo de resolução de problemas é exclusivamente uma funcionalidade apenas para empresas e requer Microsoft Defender acesso ao portal.

Sugestão

• Durante o modo de resolução de problemas, pode utilizar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell em dispositivos Windows.
• Para verificar o estado da proteção contra adulteração, pode utilizar o cmdlet Do PowerShell Get-MpComputerStatus . Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de verdadeiro significa que a proteção contra adulteração está ativada.) .

O que precisa de saber antes de começar?

Durante o modo de resolução de problemas, pode utilizar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell ou, nos sistemas operativos cliente, a aplicação Centro de Segurança para desativar temporariamente a proteção contra adulteração no seu dispositivo e fazer as alterações de configuração necessárias.

• Utilize o modo de resolução de problemas para desativar/alterar a definição de proteção contra adulteração para executar:

  • Microsoft Defender Resolução de problemas funcionais do Antivírus /compatibilidade de aplicações (blocos de aplicações falsos positivos).

• Os administradores locais, com as permissões adequadas, podem alterar as configurações em pontos finais individuais que normalmente estão bloqueados pela política. Ter um dispositivo no modo de resolução de problemas pode ser útil ao diagnosticar Microsoft Defender cenários de compatibilidade e desempenho do Antivírus.

  • Os administradores locais não podem desativar Microsoft Defender Antivírus nem desinstalá-lo.

  • Os administradores locais podem configurar todas as outras definições de segurança no conjunto de Microsoft Defender Antivírus (por exemplo, proteção da cloud, proteção contra adulteração).

• Os administradores com permissões "Gerir definições de segurança" têm acesso para ativar o modo de resolução de problemas.

• Microsoft Defender para Endpoint recolhe registos e dados de investigação ao longo do processo de resolução de problemas.

  • Um instantâneo de é tirado antes do MpPreference início do modo de resolução de problemas.

  • É criado um segundo instantâneo imediatamente antes de o modo de resolução de problemas expirar.

  • Os registos operacionais de durante o modo de resolução de problemas também são recolhidos.

  • Os registos e instantâneos são recolhidos e estão disponíveis para um administrador recolher com a funcionalidade Recolher pacote de investigação na página do dispositivo. A Microsoft não remove estes dados do dispositivo até que um administrador os recolha.

• Os administradores também podem rever as alterações nas definições que ocorrem durante o modo de resolução de problemas no Visualizador de Eventos no próprio dispositivo.

  • Abra Visualizador de Eventos e, em seguida, expanda Registos de Aplicações e Serviços>microsoft>Windows>Defender e, em seguida, selecione Operacional.
  • Os eventos potenciais podem incluir eventos com IDs 5000, 5001, 5004, 5007 e outros. Veja mais detalhes em Rever registos de eventos e códigos de erro para resolver problemas com o Antivírus do Microsoft Defender.

• O modo de resolução de problemas desliga-se automaticamente depois de atingir a hora de expiração (dura 4 horas). Após a expiração, todas as configurações geridas por políticas tornam-se novamente só de leitura e revertem para a forma como o dispositivo foi configurado antes de ativar o modo de resolução de problemas.

• Pode demorar até 15 minutos a partir do momento em que o comando é enviado de Microsoft Defender XDR para quando fica ativo no dispositivo.

• As notificações são enviadas ao utilizador quando o modo de resolução de problemas começa e quando o modo de resolução de problemas termina. Também é enviado um aviso para indicar que o modo de resolução de problemas está a terminar em breve.

• O início e o fim do modo de resolução de problemas são identificados na Linha Cronológica do Dispositivo na página do dispositivo.

• Pode consultar todos os eventos do modo de resolução de problemas na investigação avançada.

Nota

As alterações de gestão de políticas são aplicadas ao dispositivo quando está ativamente no modo de resolução de problemas. No entanto, as alterações não são aplicadas até que o modo de resolução de problemas expire. Além disso, Microsoft Defender as atualizações da Plataforma Antivírus não são aplicadas durante o modo de Resolução de Problemas. As atualizações da plataforma são aplicadas quando o modo de resolução de problemas termina com uma atualização do Windows.

Pré-requisitos

• Um dispositivo com Windows 10 (versão 19044.1618 ou posterior), Windows 11, Windows Server 2019 ou Windows Server 2022.

  Semestre/Redstone	Versão do SO	Versão
  21H2/SV1	>=22000.593	KB5011563: Catálogo Microsoft Update
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043.1620	KB5011543: Catálogo Microsoft Update
  Windows Server 2022	>=20348.617	KB5011558: Catálogo Microsoft Update
  Windows Server 2019 (RS5)	>=17763.2746	KB5011551: Catálogo Microsoft Update

• O modo de resolução de problemas também está disponível para máquinas que executam a solução moderna e unificada para Windows Server 2012 R2 e Windows Server 2016. Antes de utilizar o modo de resolução de problemas, certifique-se de que todos os seguintes componentes estão atualizados:

  • Versão do 10.8049.22439.1084 sensor ou posterior (KB5005292: Catálogo Microsoft Update)
  • Antivírus do Microsoft Defender – Plataforma: 4.18.2207.7 ou posterior (KB4052623: Catálogo Microsoft Update)
  • Antivírus do Microsoft Defender – Motor: 1.1.19500.2 ou posterior (KB2267602: Catálogo Microsoft Update)

• Para que o modo de resolução de problemas seja aplicado, Microsoft Defender para Endpoint têm de estar inscritos no inquilino e ativos no dispositivo.

• O dispositivo tem de estar a executar ativamente Microsoft Defender Antivírus, versão 4.18.2203 ou posterior.

Ativar o modo de resolução de problemas

1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.

2. Navegue para a página/página do dispositivo do dispositivo que pretende ativar o modo de resolução de problemas. Selecione Ativar o modo de resolução de problemas. Tem de ter permissões "Gerir definições de segurança no Centro de Segurança" para Microsoft Defender para Endpoint.

   

Nota

A opção Ativar o modo de resolução de problemas está disponível em todos os dispositivos, mesmo que o dispositivo não cumpra os pré-requisitos para o modo de resolução de problemas.

3. Confirme que pretende ativar o modo de resolução de problemas para o dispositivo.

   

4. A página do dispositivo mostra que o dispositivo está agora no modo de resolução de problemas.

   

Consultas de investigação avançadas

Seguem-se algumas consultas de investigação avançadas pré-criadas para lhe dar visibilidade sobre os eventos de resolução de problemas que estão a ocorrer no seu ambiente. Também pode utilizar estas consultas para criar regras de deteção para gerar alertas quando os dispositivos estão no modo de resolução de problemas.

Obter eventos de resolução de problemas para um dispositivo específico

Pesquise por deviceId ou deviceName ao comentar as respetivas linhas.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos atualmente no modo de resolução de problemas

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Contagem de instâncias do modo de resolução de problemas por dispositivo

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Contagem total

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Artigos relacionados

Sugestão

Sugestão de desempenho Devido a vários fatores, Microsoft Defender Antivírus, como outro software antivírus, podem causar problemas de desempenho em dispositivos de ponto final. Em alguns casos, poderá ter de ajustar o desempenho do Antivírus Microsoft Defender para aliviar esses problemas de desempenho. O Analisador de Desempenho da Microsoft é uma ferramenta de linha de comandos do PowerShell que ajuda a determinar que ficheiros, caminhos de ficheiros, processos e extensões de ficheiros podem estar a causar problemas de desempenho; alguns exemplos são:

• Principais caminhos que afetam o tempo de análise
• Ficheiros principais que afetam o tempo de análise
• Principais processos que afetam o tempo de análise
• Principais extensões de ficheiro que afetam o tempo de análise
• Combinações – por exemplo:
  • ficheiros principais por extensão
  • principais caminhos por extensão
  • principais processos por caminho
  • análises principais por ficheiro
  • principais análises por ficheiro por processo

Pode utilizar as informações recolhidas através do Analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de remediação. Veja: Analisador de desempenho do Antivírus Microsoft Defender.

• Cenários de modo de resolução de problemas
• Proteger as definições de segurança com proteção contra adulteração

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.