Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся ресурсы по устранению проблем или настройке Microsoft Defender для конечной точки в Linux. В этой статье описывается сбор диагностических сведений, регистрация проблем с установкой и настройка Defender для конечной точки в Linux с помощью командной строки. В этой статье также описывается удаление Defender для конечной точки в Linux.
Сбор диагностических сведений
Совет
Запустите клиентский анализатор Defender для конечной точки с динамическим ответом или локально на устройстве, чтобы собрать диагностические сведения из Defender для конечной точки в Linux.
Если вы можете воспроизвести проблему, сначала увеличьте уровень ведения журнала, запустите систему в течение некоторого времени, а затем восстановите уровень ведения журнала до уровня по умолчанию.
Увеличьте уровень ведения журнала:
mdatp log level set --level debugLog level configured successfullyВоспроизведите проблему.
Выполните следующую команду, чтобы создать резервную копию журналов Defender для конечной точки. Файлы будут храниться в архиве .zip.
sudo mdatp diagnostic createЭта команда также выведет путь к файлу к резервной копии после успешной операции:
Diagnostic file created: <path to file>Уровень ведения журнала восстановления:
mdatp log level set --level infoLog level configured successfully
Журнал проблем с установкой
Если во время установки возникает ошибка, установщик сообщит только об общем сбое.
Подробный журнал будет сохранен в /var/log/microsoft/mdatp/install.log.
Если во время установки у вас возникли проблемы, отправьте нам этот файл, чтобы мы могли помочь диагностировать причину.
Настройка из командной строки
Важные задачи, такие как управление параметрами продукта и запуск проверки по запросу, можно выполнять из командной строки.
Глобальные параметры
По умолчанию средство командной строки выводит результат в удобочитаемом формате. Кроме того, средство также поддерживает вывод результата в формате JSON, что удобно для сценариев автоматизации. Чтобы изменить выходные данные на JSON, передайте --output json любую из приведенных ниже команд.
Поддерживаемые команды
В следующей таблице перечислены команды для некоторых наиболее распространенных сценариев. Запустите mdatp help из терминала, чтобы просмотреть полный список поддерживаемых команд.
| Группа | Сценарий | Command |
|---|---|---|
| Конфигурация | Включение и отключение защиты в режиме реального времени | mdatp config real-time-protection --value [enabled\|disabled] |
| Конфигурация | Включение и отключение мониторинга поведения | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Конфигурация | Включение и отключение облачной защиты | mdatp config cloud --value [enabled\|disabled] |
| Конфигурация | Включение и отключение диагностика продукта | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Конфигурация | Включение и отключение автоматической отправки примеров | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Конфигурация | Включение и отключение пассивного режима антивирусной программы | mdatp config passive-mode --value [enabled\|disabled] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для расширения файла | mdatp exclusion extension [add\|remove] --name [extension] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для файла | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для каталога | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для процесса | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Конфигурация | Добавление или удаление глобального исключения для файла | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Конфигурация | Добавление или удаление глобального исключения для каталога | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Конфигурация | Добавление или удаление глобального исключения для процесса | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Конфигурация | Список всех исключений антивирусной программы | mdatp exclusion list |
| Конфигурация | Добавление имени угрозы в список разрешенных | mdatp threat allowed add --name [threat-name] |
| Конфигурация | Удаление имени угрозы из списка разрешенных | mdatp threat allowed remove --name [threat-name] |
| Конфигурация | Список всех разрешенных имен угроз | mdatp threat allowed list |
| Конфигурация | Включение защиты puA | mdatp threat policy set --type potentially_unwanted_application --action block |
| Конфигурация | Отключение защиты от pua | mdatp threat policy set --type potentially_unwanted_application --action off |
| Конфигурация | Включение режима аудита для защиты от puA | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Конфигурация | Настройка степени параллелизма для проверок по запросу | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Конфигурация | Включение и отключение сканирования после обновлений аналитики безопасности | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Конфигурация | Включение и отключение сканирования архивов (только для проверки по запросу) | mdatp config scan-archives --value [enabled/disabled] |
| Конфигурация | Включение и отключение вычисления хэша файлов | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Диагностика | Изменение уровня журнала | mdatp log level set --level verbose [error|warning|info|verbose] |
| Диагностика | Создание журналов диагностики | mdatp diagnostic create --path [directory] |
| Диагностика | Ограничения размера для сохраненных журналов продуктов | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Работоспособность | Проверка работоспособности продукта | mdatp health |
| Защита | Сканирование пути | mdatp scan custom --path [path] [--ignore-exclusions] |
| Защита | Быстрая проверка | mdatp scan quick |
| Защита | Выполнить полное сканирование | mdatp scan full |
| Защита | Отмена текущей проверки по запросу | mdatp scan cancel |
| Защита | Запрос обновления аналитики безопасности | mdatp definitions update |
| Защита | Откат аналитики безопасности к исходному набору по умолчанию | mdatp definitions restore |
| Журнал защиты | Печать полного журнала защиты | mdatp threat list |
| Журнал защиты | Получение сведений об угрозах | mdatp threat get --id [threat-id] |
| Управление карантином | Вывод списка всех файлов, помещенных в карантин | mdatp threat quarantine list |
| Управление карантином | Удаление всех файлов из карантина | mdatp threat quarantine remove-all |
| Управление карантином | Добавление файла, обнаруженного как угроза, в карантин | mdatp threat quarantine add --id [threat-id] |
| Управление карантином | Удаление файла, обнаруженного как угроза, из карантина | mdatp threat quarantine remove --id [threat-id] |
| Управление карантином | Восстановите файл из карантина. Доступно в Версии Defender для конечной точки, более ранней, чем 101.23092.0012. |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Управление карантином | Восстановите файл из карантина с помощью идентификатора угрозы. Доступно в Defender для конечной точки или более поздней версии 101.23092.0012 . |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Управление карантином | Восстановите файл из карантина с помощью исходного пути угрозы. Доступно в Defender для конечной точки или более поздней версии 101.23092.0012 . |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Обнаружение и нейтрализация атак на конечные точки | Настройка ранней предварительной версии | mdatp edr early-preview [enabled\|disabled] |
| Обнаружение и нейтрализация атак на конечные точки | Установка идентификатора группы | mdatp edr group-ids --group-id [group-id] |
| Обнаружение и нейтрализация атак на конечные точки | Установка и удаление тега, поддерживается только GROUP |
mdatp edr tag set --name GROUP --value [tag] |
Каталог карантина для Defender для конечной точки Linux
Каталог по умолчанию для файлов, помещенных в карантин MDATP, — ./var/opt/microsoft/mdatp/quarantine Для достижения наилучших результатов используйте команду MDATP threat quarantine для управления файлами, помещенными в карантин, а не для перемещения или изменения файлов непосредственно в каталоге карантина. Операции с прямыми файлами не рекомендуется. Для безопасного и поддерживаемого управления карантином всегда используйте CLI.
Удаление Defender для конечной точки в Linux
Существует несколько способов удаления Defender для конечной точки в Linux. Если вы используете средство настройки, например Puppet, следуйте инструкциям по удалению пакета для средства настройки.
Отключение устройств Linux
Чтобы предотвратить появление списанных устройств в инвентаризации устройств и обеспечить более точную оценку безопасности, добавьте теги устройств к устройствам, которые вы хотите отключить из Defender для конечной точки. В противном случае эти устройства будут отображаться в списке устройств в течение 180 дней.
Создайте тег устройства и назовите его
decommissioned. Назначьте тег устройствам Linux, которые нужно отключить из Defender для конечной точки.Создайте группу устройств и назовите ее примерно так:
Decommissioned Linux. Назначьте этот тег соответствующей группе пользователей.На портале Microsoft Defender в области навигации выберите Параметры>Отключено. В разделе Выбор операционной системы для запуска процесса отключения выберите Сервер Linux, а затем выберите метод развертывания.
Или, если вы используете решение для управления устройствами сторонних разработчиков, отключите интеграцию с Defender для конечной точки.
Удалите Defender для конечной точки на устройствах.
Удаление вручную
-
sudo yum remove mdatpдля RHEL и вариантов (CentOS и Oracle Linux). -
sudo zypper remove mdatpдля SLES и вариантов. -
sudo apt-get purge mdatpдля систем Ubuntu и Debian. -
sudo dnf remove mdatpдля Маринера.