Resurser för Microsoft Defender för Endpoint på macOS
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Samla in diagnostikinformation
Om du kan återskapa ett problem kan du öka loggningsnivån, köra systemet under en viss tid och sedan återställa loggningsnivån till standardnivån.
Öka loggningsnivån:
mdatp log level set --level debugLog level configured successfullyÅterskapa problemet.
Kör
sudo mdatp diagnostic createför att säkerhetskopiera Microsoft Defender för Endpoint loggarna. Filerna lagras i ett.ziparkiv. Det här kommandot skriver även ut filsökvägen till säkerhetskopian när åtgärden har slutförts.Tips
Som standard sparas diagnostikloggar i
/Library/Application Support/Microsoft/Defender/wdavdiag/. Om du vill ändra katalogen där diagnostikloggar sparas skickar--path [directory]du till kommandot nedan och ersätter[directory]med önskad katalog.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Återställ loggningsnivå.
mdatp log level set --level infoLog level configured successfully
Problem med loggningsinstallation
Om ett fel inträffar under installationen rapporterar installationsprogrammet endast ett allmänt fel. Den detaljerade loggen sparas i /Library/Logs/Microsoft/mdatp/install.log. Om du får problem under installationen skickar du den här filen när du öppnar supportäredet så att vi kan hjälpa till att diagnostisera orsaken.
Mer information om hur du felsöker installationsproblem finns i Felsöka installationsproblem för Microsoft Defender för Endpoint på macOS.
Konfigurera från kommandoraden
Utdatatyper som stöds
Stöder utdatatyper för tabell- och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i önskat utdataformat med hjälp av följande kommandon:
-output json
-output table
Viktiga uppgifter, till exempel att kontrollera produktinställningar och utlösa genomsökningar på begäran, kan utföras med hjälp av kommandoraden:
| Grupp | Scenario | Kommando |
|---|---|---|
| Konfiguration | Aktivera/inaktivera antivirus i passivt läge | mdatp config passive-mode --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera realtidsskydd | mdatp config real-time-protection --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera beteendeövervakning | mdatp config behavior-monitoring --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera molnskydd | mdatp config cloud --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera produktdiagnostik | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera automatisk sändning av exempel | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Konfiguration | Aktivera/granska/inaktivera PUA-skydd | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för en process |
mdatp exclusion process [add/remove] --path [path-to-process]eller mdatp exclusion process [add\|remove] --name [process-name] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för en fil | mdatp exclusion file [add/remove] --path [path-to-file] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för en katalog | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för ett filnamnstillägg | mdatp exclusion extension [add/remove] --name [extension] |
| Konfiguration | Visa en lista över alla antivirusundantag | mdatp exclusion list |
| Konfiguration | Konfigurera grad av parallellitet för genomsökningar på begäran | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfiguration | Aktivera/inaktivera genomsökningar efter uppdateringar av säkerhetsinformation | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera arkivgenomsökning (endast genomsökningar på begäran) | mdatp config scan-archives --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera beräkningen av filhash | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Skydd | Sök igenom en sökväg | mdatp scan custom --path [path] [--ignore-exclusions] |
| Skydd | Göra en snabbsökning | mdatp scan quick |
| Skydd | Gör en fullständig genomsökning | mdatp scan full |
| Skydd | Avbryta en pågående genomsökning på begäran | mdatp scan cancel |
| Skydd | Begära en säkerhetsinformationsuppdatering | mdatp definitions update |
| Konfiguration | Lägg till ett hotnamn i listan över tillåtna | mdatp threat allowed add --name [threat-name] |
| Konfiguration | Ta bort ett hotnamn från listan över tillåtna | mdatp threat allowed remove --name [threat-name] |
| Konfiguration | Lista alla tillåtna hotnamn | mdatp threat allowed list |
| Skyddshistorik | Skriv ut den fullständiga skyddshistoriken | mdatp threat list |
| Skyddshistorik | Hämta hotinformation | mdatp threat get --id [threat-id] |
| Karantänhantering | Visa en lista över alla filer i karantän | mdatp threat quarantine list |
| Karantänhantering | Ta bort alla filer från karantänen | mdatp threat quarantine remove-all |
| Karantänhantering | Lägga till en fil som identifieras som ett hot i karantänen | mdatp threat quarantine add --id [threat-id] |
| Karantänhantering | Ta bort en fil som identifierats som ett hot från karantänen | mdatp threat quarantine remove --id [threat-id] |
| Karantänhantering | Återställ en fil från karantänen. Tillgängligt i Defender för Endpoint-versionen före 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Karantänhantering | Återställa en fil från karantänen med hot-ID. Finns i Defender för Endpoint version 101.23092.0012 eller senare. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Karantänhantering | Återställ en fil från karantänen med den ursprungliga hotsökvägen. Finns i Defender för Endpoint version 101.23092.0012 eller senare. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Konfiguration av nätverksskydd | Konfigurera tvingande nivå för nätverksskydd | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Hantering av nätverksskydd | Kontrollera att nätverksskyddet har startats | mdatp health --field network_protection_status |
| Hantering av enhetskontroll | Är enhetskontroll aktiverat och vad är standardtillämpningen? | mdatp device-control policy preferences list |
| Hantering av enhetskontroll | Vilken princip för enhetskontroll är aktiverad? | mdatp device-control policy rules list |
| Hantering av enhetskontroll | Vilka principgrupper för enhetskontroll är aktiverade? | mdatp device-control policy groups list |
| Konfiguration | Aktivera/inaktivera dataförlustskydd | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnostik | Ändra loggnivå | mdatp log level set --level [error/warning/info/verbose] |
| Diagnostik | Generera diagnostikloggar | mdatp diagnostic create --path [directory] |
| Hälsa | Kontrollera produktens hälsa | mdatp health |
| Hälsa | Sök efter ett specifikt produktattribut | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | Undantag för EDR-lista (rot) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Ange/ta bort tagg, endast GRUPP som stöds | mdatp edr tag set --name GROUP --value [name] |
| EDR | Ta bort grupptagg från enhet | mdatp edr tag remove --tag-name [name] |
| EDR | Lägg till grupp-ID | mdatp edr group-ids --group-id [group] |
Så här aktiverar du automatisk komplettering
Om du vill aktivera automatisk komplettering i bash kör du följande kommando och startar om terminalsessionen:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Så här aktiverar du automatisk komplettering i zsh:
Kontrollera om automatisk komplettering är aktiverat på enheten:
cat ~/.zshrc | grep autoloadOm föregående kommando inte genererar några utdata kan du aktivera automatisk komplettering med hjälp av följande kommando:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcKör följande kommandon för att aktivera automatisk komplettering för Microsoft Defender för Endpoint på macOS och starta om terminalsessionen:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Karantänkatalog för klient Microsoft Defender för Endpoint
/Library/Application Support/Microsoft/Defender/quarantine/ innehåller filerna i karantän av mdatp. Filerna namnges efter hotspårnings-ID:et. De aktuella trackingId:erna visas med mdatp threat list.
Avinstallera
Det finns flera sätt att avinstallera Microsoft Defender för Endpoint på macOS. Även om centralt hanterad avinstallation är tillgängligt på JAMF är den ännu inte tillgänglig för Microsoft Intune.
Alla avinstallationer av Microsoft Defender för Endpoint på macOS kräver följande:
Skapa en enhetstagg och namnge taggen inaktiverad och tilldela den till den macOS där Microsoft Defender för macOS avinstalleras.
Skapa en enhetsgrupp och ge den namnet (t.ex. inaktiverad macOS) och tilldela en användargrupp som ska kunna se dem.
Obs! Steg 1 och 2 är valfria om du inte vill se dessa enheter som har dragits tillbaka i "Enhetsinventering" i 180 dagar.
Ta bort de "Ange inställningar"-principer som innehåller Manipulationsskydd eller via den manuella konfigurationen.
Avregistrera varje enhet per Avregistrera icke-Windows-enheter.
Avinstallera Microsoft Defender för Endpoint för macOS-appar
Ta bort enheten från gruppen för systemtilläggsprinciper om en MDM användes för att ange dem.
Interaktiv avinstallation
- Öppna Finder-program>. Högerklicka på Microsoft Defender för Endpoint och välj sedan Flytta till papperskorgen.
Från kommandoraden
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Använda JAMF Pro
Om du vill avinstallera Microsoft Defender för Endpoint på macOS med JAMF Pro laddar du upp avregistreringsprofilen.
Avregistreringsprofilen ska laddas upp utan några ändringar och med Inställningsdomännamnet inställt på com.microsoft.wdav.atp.offboarding, enligt följande bild:
Obs!
Om du har problem med att avinstallera Defender för Endpoint på Mac och i dina rapporter ser ett objekt för Microsoft Defender Endpoint Security-tillägget följer du dessa steg:
- Installera om Microsoft Defender-appen.
- Dra Microsoft Defender.app till Papperskorgen.
- Kör det här kommandot:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook. - Starta om enheten.
Microsoft Defender-portalen
När hot identifieras kan säkerhetsteamet visa identifieringar och vid behov vidta svarsåtgärder på en enhet i Microsoft Defender-portalen (https://security.microsoft.com). Microsoft Defender kombinerar skydd, identifiering, undersökning och svar på hot på en central plats. Mer information finns i följande resurser:
- Översikt över slutpunktsidentifiering och svar
- Tech Community-blogg: EDR-funktioner för macOS har nu anlänt
- översikt över Microsoft Defender-portalen
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.