Планирование проверок с помощью Microsoft Defender для конечной точки в macOS

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft 365 Defender

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Хотя вы можете начать проверку на угрозы в любое время с помощью Microsoft Defender для конечной точки, ваше предприятие может извлечь выгоду из запланированных или временных проверок. Например, можно запланировать сканирование в начале каждого рабочего дня или недели.

Планирование проверки с запуском

Вы можете создать расписание сканирования с помощью запущенной управляющей программы на устройстве macOS.

Дополнительные сведения о формате PLIST , используемом здесь, см. в разделе Сведения о файлах списка свойств на официальном веб-сайте разработчика Apple.

Планирование быстрой проверки

В следующем коде показана схема, используемая для планирования быстрой проверки.

1. Откройте текстовый редактор и используйте этот пример в качестве руководства по собственному запланированному файлу сканирования.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedquickscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan quick</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Day</key>
           <integer>3</integer>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>0</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. Сохраните файл как com.microsoft.wdav.schedquickscan.plist в каталоге /Library/LaunchDaemons.

Планирование полной проверки

1. Откройте текстовый редактор и используйте этот пример для полной проверки.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
     "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>Label</key>
       <string>com.microsoft.wdav.schedfullscan</string>
       <key>ProgramArguments</key>
       <array>
           <string>sh</string>
           <string>-c</string>
           <string>/usr/local/bin/mdatp scan full</string>
       </array>
       <key>RunAtLoad</key>
       <true/>
       <key>StartCalendarInterval</key>
       <dict>
           <key>Day</key>
           <integer>3</integer>
           <key>Hour</key>
           <integer>2</integer>
           <key>Minute</key>
           <integer>50</integer>
           <key>Weekday</key>
           <integer>5</integer>
       </dict>
       <key>WorkingDirectory</key>
       <string>/usr/local/bin/</string>
   </dict>
   </plist>
   

2. Сохраните файл как com.microsoft.wdav.schedfullscan.plist в каталоге /Library/LaunchDaemons.

Загрузка файла

1. Откройте терминал.

2. Чтобы загрузить файл, введите следующие команды:

   chown root:wheel /Library/LaunchDaemons/com.microsoft.wdav.sched*
   chmod 644 /Library/LaunchDaemons/com.microsoft.wdav.sched*
   xattr -c /Library/LaunchDaemons/com.microsoft.wdav.sched*     
   launchctl load -w /Library/LaunchDaemons/<your file name.plist>
   

3. Запланированное сканирование будет выполняться в дату, время и частоту, определенные в списке p-list. В предыдущих примерах проверка выполняется в 2:50 каждую пятницу.

   • Значение WeekdayStartCalendarInterval использует целое число для указания пятого дня недели или пятницы. Диапазон составляет от 1 до 7, а 7 представляет воскресенье.
   • Значение DayStartCalendarInterval использует целое число для указания третьего дня месяца. Диапазон составляет от 1 до 31.
   • Значение HourStartCalendarInterval использует целое число для указания второго часа дня. Диапазон составляет от 0 до 23. Значение MinuteStartCalendarInterval использует целое число для указания пятидесяти минут часа. Диапазон составляет от 0 до 59.

Важно!

Агенты, выполняемые с запущенным , не будут запускаться в запланированное время, пока устройство находится в спященном режиме. Вместо этого они будут запускаться после выхода устройства из спящего режима.

Если устройство отключено, проверка будет выполняться в следующее запланированное время проверки.

Планирование сканирования с помощью Intune

Вы также можете запланировать сканирование с помощью Microsoft Intune. Скрипт оболочки runMDATPQuickScan.sh, доступный в разделе Скрипты для Microsoft Defender для конечной точки, будет сохраняться, когда устройство возобновляет работу из спящего режима.

Более подробные инструкции по использованию этого скрипта на устройствах macOS в Intune см. в статье Использование скриптов оболочки на устройствах macOS в Intune.