Режим устранения неполадок в Microsoft Defender для конечной точки в macOS

Область применения:

• Microsoft Defender XDR
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки в macOS

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье описывается, как включить режим устранения неполадок в Microsoft Defender для конечной точки в macOS, чтобы администраторы могли временно устранять неполадки с различными функциями антивирусной программы Microsoft Defender, даже если устройствами управляют политики организации.

Например, если включена защита от незаконного изменения, некоторые параметры нельзя изменить или отключить, но вы можете временно изменить эти параметры в режиме устранения неполадок на устройстве.

Режим устранения неполадок отключен по умолчанию и требует включения его для устройства (или группы устройств) на ограниченное время. Режим устранения неполадок — это исключительно корпоративная функция, требующая доступа к Microsoft Defender порталу.

Что необходимо знать, прежде чем начать

В режиме устранения неполадок вы можете:

• Используйте Microsoft Defender для конечной точки для устранения неполадок с функцией macOS и совместимости приложений (ложные срабатывания).

• Локальные администраторы с соответствующими разрешениями могут изменять следующие конфигурации политики, заблокированные на отдельных конечных точках:

  Параметр	Включение	Отключение и удаление
  защита Real-Time/ пассивный режим/ по запросу	mdatp config real-time-protection --value enabled	mdatp config real-time-protection --value disabled
  Защита сети	mdatp config network-protection enforcement-level --value block	mdatp config network-protection enforcement-level --value disabled
  realTimeProtectionStatistics	mdatp config real-time-protection-statistics --value enabled	mdatp config real-time-protection-statistics --value disabled
  tags	mdatp edr tag set --name GROUP --value [name]	mdatp edr tag remove --tag-name [name]
  groupIds	mdatp edr group-ids --group-id [group]
  DLP конечной точки	mdatp config data_loss_prevention --value enabled	mdatp config data_loss_prevention --value disabled

В режиме устранения неполадок невозможно:

• Отключите защиту от незаконного изменения для Microsoft Defender для конечной точки в macOS.
• Удалите Microsoft Defender для конечной точки в macOS.

Предварительные условия

• Поддерживаемая версия macOS для Microsoft Defender для конечной точки.
• Microsoft Defender для конечной точки должны быть зарегистрированы в клиенте и активны на устройстве.
• Разрешения для "Управление параметрами безопасности в центре безопасности" в Microsoft Defender для конечной точки.
• Версия обновления платформы: 101.23122.0005 или более позднюю.

Включение режима устранения неполадок в macOS

1. Перейдите на портал Microsoft Defender и выполните вход.

2. Перейдите на страницу устройства, чтобы включить режим устранения неполадок. Затем выберите многоточие (...) и выберите Включить режим устранения неполадок.

   

   Примечание.

   Параметр Включить режим устранения неполадок доступен на всех устройствах, даже если устройство не соответствует предварительным требованиям для режима устранения неполадок.

3. Прочтите сведения, отображаемые на панели, и когда вы будете готовы, нажмите кнопку Отправить , чтобы убедиться, что вы хотите включить режим устранения неполадок для этого устройства.

4. Вы увидите, что может потребоваться несколько минут, чтобы изменения вступают в силу . В течение этого времени, когда вы снова выберете многоточие, вы увидите, что параметр Включить режим устранения неполадок ожидается серым цветом.

5. После завершения на странице устройства показано, что устройство теперь находится в режиме устранения неполадок.

   Если пользователь вошел в систему на устройстве macOS, он увидит следующий текст:

   Запущен режим устранения неполадок. Этот режим позволяет временно изменить параметры, управляемые администратором. Срок действия: YEAR-MM-DDTHH:MM:SSZ.

   Нажмите OK.

6. После включения можно протестировать различные параметры командной строки, которые можно переключать в режиме устранения неполадок (режим TS).

   Например, при использовании mdatp config real-time-protection --value disabled команды для отключения защиты в режиме реального времени вам будет предложено ввести пароль. Нажмите кнопку ОК после ввода пароля.

   

   Выходной отчет, аналогичный следующему снимку экрана, будет отображаться при выполнении mdatp health со значением real_time_protection_enabled "false" и tamper_protection "block".

   

Расширенные поисковые запросы для обнаружения

Существуют некоторые предварительно созданные расширенные запросы охоты, которые позволяют получить представление о событиях устранения неполадок, происходящих в вашей среде. Эти запросы можно использовать для создания правил обнаружения для создания оповещений, когда устройства находятся в режиме устранения неполадок.

Получение событий устранения неполадок для определенного устройства

Вы можете использовать следующий запрос для поиска по deviceId или deviceName закомментирования соответствующих строк.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Устройства, которые в настоящее время находятся в режиме устранения неполадок

Устройства, которые в настоящее время находятся в режиме устранения неполадок, можно найти с помощью следующего запроса:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Количество экземпляров режима устранения неполадок по устройствам

Количество экземпляров режима устранения неполадок для устройства можно найти с помощью следующего запроса:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Общее число

Общее количество экземпляров режима устранения неполадок можно узнать с помощью следующего запроса:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Рекомендуемое содержимое

• Microsoft Defender XDR для конечной точки на Mac
• Microsoft Defender XDR для интеграции конечной точки с Microsoft Defender XDR для облачных приложений
• Знакомство с инновационными функциями в Microsoft Edge
• Защита сети
• Включить защиту сети
• Веб-защита
• Создание индикаторов
• Фильтрация веб-содержимого

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.