Share via


Felsökningsläge i Microsoft Defender för Endpoint på macOS

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln beskriver hur du aktiverar felsökningsläget i Microsoft Defender för Endpoint på macOS så att administratörer kan felsöka olika Microsoft Defender Antivirus-funktioner tillfälligt, även om organisationsprinciper hanterar enheterna.

Om manipuleringsskyddet till exempel är aktiverat kan vissa inställningar inte ändras eller stängas av, men du kan använda felsökningsläget på enheten för att redigera inställningarna tillfälligt.

Felsökningsläget är inaktiverat som standard och kräver att du aktiverar det för en enhet (och/eller grupp av enheter) under en begränsad tid. Felsökningsläget är endast en funktion för företag och kräver åtkomst till Microsoft Defender-portalen.

Vad behöver du veta innan du börjar?

Under felsökningsläget kan du:

  • Använd Microsoft Defender för Endpoint på funktionsfelsökning/programkompatibilitet i macOS (falska positiva identifieringar).

  • Lokala administratörer med lämpliga behörigheter kan ändra följande principlåst konfigurationer på enskilda slutpunkter:

    Inställning Aktivera Inaktivera/ta bort
    Real-Time Skydd/Passivt läge/På begäran mdatp config real-time-protection --value enabled mdatp config real-time-protection --value disabled
    Nätverksskydd mdatp config network-protection enforcement-level --value block mdatp config network-protection enforcement-level --value disabled
    realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled mdatp config real-time-protection-statistics --value disabled
    Taggar mdatp edr tag set --name GROUP --value [name] mdatp edr tag remove --tag-name [name]
    groupIds mdatp edr group-ids --group-id [group]
    Slutpunkts-DLP mdatp config data_loss_prevention --value enabled mdatp config data_loss_prevention --value disabled

Under felsökningsläget kan du inte:

  • Inaktivera manipuleringsskydd för Microsoft Defender för Endpoint på macOS.
  • Avinstallera Microsoft Defender för Endpoint på macOS.

Förutsättningar

  • Version av macOS som stöds för Microsoft Defender för Endpoint.
  • Microsoft Defender för Endpoint måste vara klientregistrerade och aktiva på enheten.
  • Behörigheter för "Hantera säkerhetsinställningar i Security Center" i Microsoft Defender för Endpoint.
  • Version av plattformsuppdatering: 101.23122.0005 eller senare.

Aktivera felsökningsläge på macOS

  1. Gå till Microsoft Defender-portalen och logga in.

  2. Gå till enhetssidan där du vill aktivera felsökningsläget. Välj sedan ellipserna(...) och välj Aktivera felsökningsläge.

    Skärmbild som visar skärmbilden av felsökningsläget på mac.

    Obs!

    Alternativet Aktivera felsökningsläge är tillgängligt på alla enheter, även om enheten inte uppfyller kraven för felsökningsläge.

  3. Läs informationen som visas i fönstret och när du är klar väljer du Skicka för att bekräfta att du vill aktivera felsökningsläget för enheten.

  4. Du ser att det kan ta några minuter för ändringen att börja gälla text som visas. När du väljer ellipserna igen ser du att alternativet Aktivera felsökning väntar på nedtonat under den här tiden.

  5. När det är klart visar enhetssidan att enheten nu är i felsökningsläge.

    Om slutanvändaren är inloggad på macOS-enheten visas följande text:

    Felsökningsläget har startats. Med det här läget kan du tillfälligt ändra inställningar som hanteras av administratören. Upphör vid YEAR-MM-DDTHH:MM:SSZ.

    Välj OK.

  6. När det är aktiverat kan du testa de olika kommandoradsalternativen som är tillgängliga i felsökningsläget (TS-läge).

    När du till exempel använder mdatp config real-time-protection --value disabled kommandot för att inaktivera realtidsskydd uppmanas du att ange ditt lösenord. Välj OK när du har angett lösenordet.

    Skärmbild som visar skärmbilden av realtidsskydd som inaktiveras.

    Utdatarapporten som liknar följande skärmbild visas vid körning av mdatp-hälsa med real_time_protection_enabled som "false" och tamper_protection som "block".

    Screnshot som visar skärmbilden av utdatarapporten för mdatp-hälsa som körs.

Avancerade jaktfrågor för identifiering

Det finns några fördefinierade avancerade jaktfrågor som ger dig insyn i de felsökningshändelser som inträffar i din miljö. Du kan använda dessa frågor för att skapa identifieringsregler för att generera aviseringar när enheter är i felsökningsläge.

Hämta felsökningshändelser för en viss enhet

Du kan använda följande fråga för att söka efter deviceId eller deviceName genom att kommentera ut respektive rader.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Enheter som för närvarande är i felsökningsläge

Du hittar de enheter som för närvarande är i felsökningsläge med hjälp av följande fråga:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Antal felsökningslägesinstanser per enhet

Du hittar antalet felsökningslägesinstanser för en enhet med hjälp av följande fråga:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Totalt antal

Du kan känna till det totala antalet felsökningslägesinstanser med hjälp av följande fråga:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.