Поделиться через

Ресурсы

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Сбор диагностических сведений

Если вы можете воспроизвести проблему, сначала увеличьте уровень ведения журнала, запустите систему в течение некоторого времени, а затем восстановите уровень ведения журнала до уровня по умолчанию.

  1. Увеличьте уровень ведения журнала:

    mdatp log level set --level debug

    Log level configured successfully

  2. Воспроизведите проблему.

  3. Выполните следующую команду, чтобы создать резервную копию журналов Defender для конечной точки. Файлы будут храниться в архиве .zip.

    sudo mdatp diagnostic create

    Эта команда также выведет путь к файлу к резервной копии после успешной операции:

    Diagnostic file created: <path to file>

  4. Уровень ведения журнала восстановления:

    mdatp log level set --level info

    Log level configured successfully

Журнал проблем с установкой

Если во время установки возникает ошибка, установщик сообщит только об общем сбое.

Подробный журнал будет сохранен в /var/log/microsoft/mdatp/install.log. Если во время установки у вас возникли проблемы, отправьте нам этот файл, чтобы мы могли помочь диагностировать причину.

Удаление Defender для конечной точки в Linux

Существует несколько способов удаления Defender для конечной точки в Linux. Если вы используете средство настройки, например Puppet, следуйте инструкциям по удалению пакета для средства настройки.

Удаление вручную

  • sudo yum remove mdatp для RHEL и вариантов (CentOS и Oracle Linux).
  • sudo zypper remove mdatp для SLES и вариантов.
  • sudo apt-get purge mdatp для систем Ubuntu и Debian.
  • sudo dnf remove mdatp для Маринера

Настройка из командной строки

Важные задачи, такие как управление параметрами продукта и запуск проверки по запросу, можно выполнять из командной строки.

Глобальные параметры

По умолчанию средство командной строки выводит результат в удобочитаемом формате. Кроме того, средство также поддерживает вывод результата в формате JSON, что удобно для сценариев автоматизации. Чтобы изменить выходные данные на JSON, передайте --output json любую из приведенных ниже команд.

Поддерживаемые команды

В следующей таблице перечислены команды для некоторых наиболее распространенных сценариев. Запустите mdatp help из терминала, чтобы просмотреть полный список поддерживаемых команд.


Группа Сценарий Command
Конфигурация Включение и отключение защиты в режиме реального времени mdatp config real-time-protection --value [enabled\|disabled]
Конфигурация Включение и отключение мониторинга поведения mdatp config behavior-monitoring --value [enabled\|disabled]
Конфигурация Включение и отключение облачной защиты mdatp config cloud --value [enabled\|disabled]
Конфигурация Включение и отключение диагностика продукта mdatp config cloud-diagnostic --value [enabled\|disabled]
Конфигурация Включение и отключение автоматической отправки примеров mdatp config cloud-automatic-sample-submission --value [enabled\|disabled]
Конфигурация Включение и отключение пассивного режима AV mdatp config passive-mode --value [enabled\|disabled]
Конфигурация Добавление и удаление исключения антивирусной программы для расширения файла mdatp exclusion extension [add\|remove] --name [extension]
Конфигурация Добавление и удаление исключения антивирусной программы для файла mdatp exclusion file [add\|remove] --path [path-to-file]
Конфигурация Добавление и удаление исключения антивирусной программы для каталога mdatp exclusion folder [add\|remove] --path [path-to-directory]
Конфигурация Добавление и удаление исключения антивирусной программы для процесса mdatp exclusion process [add\|remove] --path [path-to-process]

mdatp exclusion process [add\|remove] --name [process-name]
Конфигурация Список всех исключений антивирусной программы mdatp exclusion list
Конфигурация Добавление имени угрозы в список разрешенных mdatp threat allowed add --name [threat-name]
Конфигурация Удаление имени угрозы из списка разрешенных mdatp threat allowed remove --name [threat-name]
Конфигурация Список всех разрешенных имен угроз mdatp threat allowed list
Конфигурация Включение защиты puA mdatp threat policy set --type potentially_unwanted_application --action block
Конфигурация Отключение защиты от pua mdatp threat policy set --type potentially_unwanted_application --action off
Конфигурация Включение режима аудита для защиты от puA mdatp threat policy set --type potentially_unwanted_application --action audit
Конфигурация Настройка степени параллелизма для проверок по запросу mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Конфигурация Включение и отключение сканирования после обновлений аналитики безопасности mdatp config scan-after-definition-update --value [enabled/disabled]
Конфигурация Включение и отключение сканирования архивов (только для проверки по запросу) mdatp config scan-archives --value [enabled/disabled]
Конфигурация Включение и отключение вычисления хэша файлов mdatp config enable-file-hash-computation --value [enabled/disabled]
Диагностика Изменение уровня журнала mdatp log level set --level verbose [error|warning|info|verbose]
Диагностика Создание журналов диагностики mdatp diagnostic create --path [directory]
Диагностика Ограничения размера для сохраненных журналов продуктов mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB]
Работоспособность Проверка работоспособности продукта mdatp health
Защита Сканирование пути mdatp scan custom --path [path] [--ignore-exclusions]
Защита Быстрая проверка mdatp scan quick
Защита Выполнить полное сканирование mdatp scan full
Защита Отмена текущей проверки по запросу mdatp scan cancel
Защита Запрос обновления аналитики безопасности mdatp definitions update
Журнал защиты Печать полного журнала защиты mdatp threat list
Журнал защиты Получение сведений об угрозах mdatp threat get --id [threat-id]
Управление карантином Вывод списка всех файлов, помещенных в карантин mdatp threat quarantine list
Управление карантином Удаление всех файлов из карантина mdatp threat quarantine remove-all
Управление карантином Добавление файла, обнаруженного как угроза, в карантин mdatp threat quarantine add --id [threat-id]
Управление карантином Удаление файла, обнаруженного как угроза, из карантина mdatp threat quarantine remove --id [threat-id]
Управление карантином Восстановите файл из карантина. Доступно в Defender для конечной точки версии ниже 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Управление карантином Восстановите файл из карантина с помощью идентификатора угрозы. Доступно в Defender для конечной точки версии 101.23092.0012 или более поздней. mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder]
Управление карантином Восстановите файл из карантина с помощью исходного пути угрозы. Доступно в Defender для конечной точки версии 101.23092.0012 или более поздней. mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Обнаружение и нейтрализация атак на конечные точки Настройка ранней предварительной версии mdatp edr early-preview [enabled\|disabled]
Обнаружение и нейтрализация атак на конечные точки Установка идентификатора группы mdatp edr group-ids --group-id [group-id]
Обнаружение и нейтрализация атак на конечные точки Установка и удаление тега, поддерживается только GROUP mdatp edr tag set --name GROUP --value [tag]
Обнаружение и нейтрализация атак на конечные точки Перечисление исключений (корневой каталог) mdatp edr exclusion list [processes|paths|extensions|all]

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.