Ресурсы для Microsoft Defender для конечной точки в macOS
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Сбор диагностических сведений
Если вы можете воспроизвести проблему, увеличьте уровень ведения журнала, запустите систему в течение некоторого времени и восстановите уровень ведения журнала до уровня по умолчанию.
Увеличьте уровень ведения журнала:
mdatp log level set --level debugLog level configured successfullyВоспроизведение проблемы
Запустите
sudo mdatp diagnostic create, чтобы создать резервную копию журналов Microsoft Defender для конечной точки. Файлы будут храниться в архиве .zip. Эта команда также выведет путь к файлу к резервной копии после успешной операции.Совет
По умолчанию журналы диагностики сохраняются в
/Library/Application Support/Microsoft/Defender/wdavdiag/. Чтобы изменить каталог, в котором сохраняются журналы диагностики, передайте--path [directory]приведенную ниже команду, заменив[directory]нужным каталогом.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Уровень ведения журнала восстановления:
mdatp log level set --level infoLog level configured successfully
Ведение журнала проблем с установкой
Если во время установки возникает ошибка, установщик сообщит только об общем сбое.
Подробный журнал будет сохранен в /Library/Logs/Microsoft/mdatp/install.log. Если во время установки у вас возникли проблемы, отправьте нам этот файл, чтобы мы могли помочь диагностировать причину.
Дополнительные сведения об устранении неполадок с установкой см. в статье Устранение неполадок с установкой для Microsoft Defender для конечной точки в macOS.
Удаление
Примечание.
Прежде чем удалять Microsoft Defender для конечной точки в macOS, отключите подключение к устройствам, отличным от Windows.
Существует несколько способов удаления Microsoft Defender для конечной точки в macOS. Обратите внимание, что хотя централизованно управляемое удаление доступно в JAMF, оно пока недоступно для Microsoft Intune.
Интерактивное удаление
- Откройте приложение Finder>. Щелкните правой кнопкой мыши Microsoft Defender для конечной точки > Перейти в корзину.
Поддерживаемые типы выходных данных
Поддерживает типы выходных данных в формате таблиц и JSON. Для каждой команды есть поведение вывода по умолчанию. Вы можете изменить выходные данные в предпочитаемом формате вывода с помощью следующих команд:
-output json
-output table
Из командной строки
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Использование JAMF Pro
Чтобы удалить Microsoft Defender для конечной точки в macOS с помощью JAMF Pro, отправьте профиль отключения.
Профиль offboarding должен быть отправлен без каких-либо изменений, а доменное имя предпочтения — com.microsoft.wdav.atp.offboarding:
Настройка из командной строки
Важные задачи, такие как управление параметрами продукта и запуск проверки по запросу, можно выполнить из командной строки:
| Группа | Сценарий | Command |
|---|---|---|
| Конфигурация | Включение и отключение пассивного режима антивирусной программы | mdatp config passive-mode --value [enabled/disabled] |
| Конфигурация | Включение и отключение защиты в режиме реального времени | mdatp config real-time-protection --value [enabled/disabled] |
| Конфигурация | Включение и отключение облачной защиты | mdatp config cloud --value [enabled/disabled] |
| Конфигурация | Включение и отключение диагностика продукта | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Конфигурация | Включение и отключение автоматической отправки примеров | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Конфигурация | Включение, аудит и отключение защиты от ПС | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Конфигурация | Добавление и удаление исключения антивирусной программы для процесса | mdatp exclusion process [add/remove] --path [path-to-process]Или mdatp exclusion process [add\|remove] --name [process-name] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для файла | mdatp exclusion file [add/remove] --path [path-to-file] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для каталога | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для расширения файла | mdatp exclusion extension [add/remove] --name [extension] |
| Конфигурация | Список всех исключений антивирусной программы | mdatp exclusion list |
| Конфигурация | Настройка степени параллелизма для проверок по запросу | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Конфигурация | Включение и отключение сканирования после обновлений аналитики безопасности | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Конфигурация | Включение и отключение сканирования архивов (только для проверки по запросу) | mdatp config scan-archives --value [enabled/disabled] |
| Конфигурация | Включение и отключение вычисления хэша файлов | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Защита | Сканирование пути | mdatp scan custom --path [path] [--ignore-exclusions] |
| Защита | Быстрая проверка | mdatp scan quick |
| Защита | Выполнить полное сканирование | mdatp scan full |
| Защита | Отмена текущей проверки по запросу | mdatp scan cancel |
| Защита | Запрос обновления аналитики безопасности | mdatp definitions update |
| Конфигурация | Добавление имени угрозы в список разрешенных | mdatp threat allowed add --name [threat-name] |
| Конфигурация | Удаление имени угрозы из списка разрешенных | mdatp threat allowed remove --name [threat-name] |
| Конфигурация | Список всех разрешенных имен угроз | mdatp threat allowed list |
| Журнал защиты | Печать полного журнала защиты | mdatp threat list |
| Журнал защиты | Получение сведений об угрозах | mdatp threat get --id [threat-id] |
| Управление карантином | Вывод списка всех файлов, помещенных в карантин | mdatp threat quarantine list |
| Управление карантином | Удаление всех файлов из карантина | mdatp threat quarantine remove-all |
| Управление карантином | Добавление файла, обнаруженного как угроза, в карантин | mdatp threat quarantine add --id [threat-id] |
| Управление карантином | Удаление файла, обнаруженного как угроза, из карантина | mdatp threat quarantine remove --id [threat-id] |
| Управление карантином | Восстановите файл из карантина. Доступно в Defender для конечной точки версии ниже 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Управление карантином | Восстановите файл из карантина с помощью идентификатора угрозы. Доступно в Defender для конечной точки версии 101.23092.0012 или более поздней. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Управление карантином | Восстановите файл из карантина с помощью исходного пути угрозы. Доступно в Defender для конечной точки версии 101.23092.0012 или более поздней. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Конфигурация защиты сети | Настройка уровня принудительного применения защиты сети | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Управление защитой сети | Проверка успешной работы защиты сети | mdatp health --field network_protection_status |
| Управление устройствами | Включено ли управление устройствами и что такое принудительное применение по умолчанию? | mdatp device-control policy preferences list |
| Управление устройствами | Какая политика управления устройствами включена? | mdatp device-control policy rules list |
| Управление устройствами | Какие группы политик управления устройствами включены? | mdatp device-control policy groups list |
| Конфигурация | Включение и отключение защиты от потери данных | mdatp config data_loss_prevention --value [enabled/disabled] |
| Диагностика | Изменение уровня журнала | mdatp log level set --level [error/warning/info/verbose] |
| Диагностика | Создание журналов диагностики | mdatp diagnostic create --path [directory] |
| Работоспособность | Проверка работоспособности продукта | mdatp health |
| Работоспособность | Проверка определенного атрибута продукта | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | Исключения списка EDR (корневой каталог) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Установка и удаление тега, поддерживается только группа | mdatp edr tag set --name GROUP --value [name] |
| EDR | Удаление тега группы с устройства | mdatp edr tag remove --tag-name [name] |
| EDR | Добавление идентификатора группы | mdatp edr group-ids --group-id [group] |
Включение автозаполнения
Чтобы включить автозавершение в bash, выполните следующую команду и перезапустите сеанс терминала:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Чтобы включить автозавершение в zsh, выполните приведенные далее действия.
Проверьте, включена ли автозавершение на устройстве:
cat ~/.zshrc | grep autoloadЕсли предыдущая команда не выводит никаких выходных данных, можно включить автозаполнение с помощью следующей команды:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcВыполните следующие команды, чтобы включить автозавершение для Microsoft Defender для конечной точки в macOS и перезапустите сеанс терминала:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Каталог карантина Microsoft Defender для конечной точки клиента
/Library/Application Support/Microsoft/Defender/quarantine/содержит файлы, помещенные в карантин .mdatp Файлы именуются в честь идентификатора отслеживания угроз. Текущий trackingIds отображается с mdatp threat listпомощью .
сведения о портале Microsoft Defender для конечной точки
В блоге Microsoft Defender для конечной точки появилась возможность EDR для macOS, содержится подробное руководство о том, чего ожидать.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по