Agendar análises com Microsoft Defender para Endpoint no macOS

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft 365 Defender

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Embora possa iniciar uma análise de ameaças em qualquer altura com Microsoft Defender para Endpoint, a sua empresa poderá beneficiar de análises agendadas ou cronometradas. Por exemplo, pode agendar uma análise para ser executada no início de cada dia de trabalho ou semana.

Agendar uma análise com iniciado

Pode criar uma agenda de análise com o daemon iniciado num dispositivo macOS.

Para obter mais informações sobre o formato de ficheiro .plist utilizado aqui, consulte About Information Property List Files (Acerca dos Ficheiros da Lista de Propriedades de Informações ) no site oficial do programador da Apple.

Agendar uma análise rápida

O código seguinte mostra o esquema que precisa de utilizar para agendar uma análise rápida.

1. Abra um editor de texto e utilize este exemplo como guia para o seu próprio ficheiro de análise agendada.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedquickscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan quick</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Day</key>
           <integer>3</integer>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>0</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. Guarde o ficheiro como com.microsoft.wdav.schedquickscan.plist no diretório /Library/LaunchDaemons.

Agendar uma análise completa

1. Abra um editor de texto e utilize este exemplo para uma análise completa.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedfullscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan full</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Day</key>
           <integer>3</integer>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>50</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. Guarde o ficheiro como com.microsoft.wdav.schedfullscan.plist no diretório /Library/LaunchDaemons.

Carregar o ficheiro

1. Abra o Terminal.

2. Introduza os seguintes comandos para carregar o ficheiro:

   chown root:wheel /Library/LaunchDaemons/com.microsoft.wdav.sched*
   chmod 644 /Library/LaunchDaemons/com.microsoft.wdav.sched*
   xattr -c /Library/LaunchDaemons/com.microsoft.wdav.sched*     
   launchctl load -w /Library/LaunchDaemons/<your file name.plist>
   

3. A análise agendada será executada na data, hora e frequência que definiu na sua lista p. Nos exemplos anteriores, a análise é executada às 2:50 todas as sextas-feiras.

   • O Weekday valor de StartCalendarInterval utiliza um número inteiro para indicar o quinto dia da semana ou sexta-feira. O intervalo está entre 1 e 7, com 7 a representar domingo.
   • O Day valor de StartCalendarInterval utiliza um número inteiro para indicar o terceiro dia do mês. O intervalo está entre 1 e 31.
   • O Hour valor de StartCalendarInterval utiliza um número inteiro para indicar a segunda hora do dia. O intervalo está entre 0 e 23. O Minute valor de StartCalendarInterval utiliza um número inteiro para indicar cinquenta minutos da hora. O intervalo está entre 0 e 59.

Importante

Os agentes executados com iniciados não serão executados na hora agendada enquanto o dispositivo estiver em modo de sono. Em vez disso, serão executados assim que o dispositivo for retomado do modo de suspensão.

Se o dispositivo estiver desativado, a análise será executada na próxima hora de análise agendada.

Agendar uma análise com Intune

Também pode agendar análises com Microsoft Intune. O script da shell runMDATPQuickScan.sh disponível em Scripts para Microsoft Defender para Endpoint irá persistir quando o dispositivo retomar do modo de suspensão.

Veja Utilizar scripts de shell em dispositivos macOS no Intune para obter instruções mais detalhadas sobre como utilizar este script na sua empresa.