Kom igång med felsökningsläge i Microsoft Defender för Endpoint

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Microsoft Defender för Endpoint felsökningsläge kan du felsöka olika Microsoft Defender antivirusfunktioner genom att aktivera dem från enheten och testa olika scenarier, även om de styrs av organisationens princip. Felsökningsläget är inaktiverat som standard och kräver att du aktiverar det för en enhet (och/eller grupp av enheter) under en begränsad tid. Observera att detta endast är en företagsfunktion och kräver Microsoft 365 Defender åtkomst.

Vad behöver jag veta innan jag börjar?

  • Använd felsökningsläge för att inaktivera/ändra inställningen för manipuleringsskydd för att utföra:

    • Microsoft Defender Funktionsfelsökning/programkompatibilitet för antivirusprogram (falska positiva programblock).
    • Microsoft Defender Felsökning av antivirusprestanda med hjälp av felsökningsläget och manipulering av manipuleringsskydd och andra antivirusinställningar.
  • Om en manipuleringshändelse inträffar (till exempel om ögonblicksbilden MpPreference ändras eller tas bort) avslutas felsökningsläget och manipuleringsskyddet aktiveras på enheten.

  • Lokala administratörer med lämpliga behörigheter kan ändra konfigurationer på enskilda slutpunkter som vanligtvis är låsta av principer. Det kan vara bra att ha en enhet i felsökningsläge när du diagnostiserar Microsoft Defender antivirusprestanda och kompatibilitetsscenarier.

    • Lokala administratörer kan inte inaktivera Microsoft Defender Antivirus eller avinstallera det.
    • Lokala administratörer kommer att kunna konfigurera alla andra säkerhetsinställningar i Microsoft Defender Antivirus-sviten (till exempel molnskydd, manipuleringsskydd).
  • Administratörer med behörigheten "Hantera säkerhetsinställningar" har åtkomst för att aktivera felsökningsläge.

  • Microsoft Defender för Endpoint samlar in loggar och undersökningsdata under hela felsökningsprocessen.

    • Ögonblicksbild av MpPreference tas innan felsökningsläget börjar.

    • Den andra ögonblicksbilden tas precis innan felsökningsläget upphör att gälla.

    • Driftloggar från under felsökningsläget samlas också in.

    • Alla ovanstående loggar och ögonblicksbilder samlas in och kommer att vara tillgängliga för en administratör att samla in med hjälp av funktionen Samla in undersökningspaket på enhetssidan. Observera att Microsoft inte tar bort dessa data från enheten förrän en administratör samlar in dem.

  • Administratörer kan också granska de ändringar i inställningarna som sker under felsökningsläget i Loggboken på enhetssidan.

  • Felsökningsläget stängs automatiskt av när förfallotiden har nåtts (den varar i 3 timmar). Efter förfallodatumet blir alla principhanterade konfigurationer skrivskyddade igen och återgår till hur det var innan felsökningsläget aktiveras.

  • Det kan ta upp till 15 minuter från det att kommandot skickas från Microsoft 365 Defender till när det blir aktivt på enheten.

  • Meddelandet skickas till slutanvändaren när felsökningsläget börjar och när felsökningsläget avslutas. En varning skickas också som meddelar att den kommer att avslutas snart.

  • Början och slutet av felsökningsläget identifieras på enhetens tidslinje på enhetssidan.

  • Du kan köra frågor mot alla felsökningslägeshändelser i avancerad jakt.

Obs!

Principhanteringsändringar tillämpas på datorn när den är aktivt i felsökningsläge. Ändringarna börjar dock inte gälla förrän felsökningsläget upphör att gälla. Dessutom tillämpas inte Microsoft Defender Antivirus Platform-uppdateringar under felsökningsläget. Plattformsuppdateringar tillämpas när felsökningsläget slutar med en Windows-uppdatering.

Förutsättningar

  • En enhet som kör Windows 10 (version 19044.1618 eller senare), Windows 11, Windows Server 2019 eller Windows Server 2022.

    Termin/Redstone OS-version Version
    21H2/SV1 >=22000.593 KB5011563: Microsoft Update Catalog
    20H1/20H2/21H1 >=19042.1620
    >=19041.1620
    >=19043.1620
    KB5011543: Microsoft Update Catalog
    Windows Server 2022 >=20348.617 KB5011558: Microsoft Update Catalog
    Windows Server 2019 (RS5) >=17763.2746 KB5011551: Microsoft Update Catalog
  • Felsökningsläget är också tillgängligt för datorer som kör den moderna, enhetliga lösningen för Windows Server 2012 R2 och Windows Server 2016. Under felsökningsläget kan du använda Set-MPPreference -DisableTamperProtection $true för att tillfälligt inaktivera manipuleringsskydd på enheten och göra nödvändiga konfigurationsändringar. Innan du använder felsökningsläget kontrollerar du att alla följande komponenter är uppdaterade:

  • För att felsökningsläget ska tillämpas måste Microsoft Defender för Endpoint vara klientregistrerat och aktivt på enheten.

  • Enheten måste aktivt köra Microsoft Defender Antivirus version 4.18.2203 eller senare.

Aktivera felsökningsläget

  1. Gå till Microsoft 365 Defender-portalen (https://security.microsoft.com) och logga in.

  2. Gå till enhetssidan/datorsidan för den enhet som du vill aktivera felsökningsläget för. Välj Aktivera felsökningsläge. Observera att detta kräver behörigheterna "Hantera säkerhetsinställningar i Security Center" för Microsoft Defender för Endpoint.

    Aktivera felsökningsläge

  3. Bekräfta att du vill aktivera felsökningsläget för enheten.

    Den utfällbara konfigurationen

  4. Enhetssidan visar att enheten nu är i felsökningsläge.

    Enheten är nu i felsökningsläge

Avancerade jaktfrågor

Här är några färdiga avancerade jaktfrågor som ger dig insyn i de felsökningshändelser som inträffar i din miljö. Du kan också använda dessa frågor för att skapa identifieringsregler som varnar dig när enheterna är i felsökningsläge.

Hämta felsökningshändelser för en viss enhet

Sök efter deviceId eller deviceName genom att kommentera ut respektive rad.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Enheter som för närvarande är i felsökningsläge

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Antal felsökningslägesinstanser per enhet

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Totalt antal

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Tips

Prestandatips På grund av en mängd olika faktorer (exempel som anges nedan) kan Microsoft Defender Antivirus, som andra antivirusprogram, orsaka prestandaproblem på slutpunktsenheter. I vissa fall kan du behöva justera prestanda för Microsoft Defender Antivirus för att lindra dessa prestandaproblem. Microsofts prestandaanalysverktyg är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filsökvägar, processer och filnamnstillägg som kan orsaka prestandaproblem. Några exempel är:

  • De vanligaste sökvägarna som påverkar genomsökningstiden
  • De vanligaste filerna som påverkar genomsökningstiden
  • De vanligaste processerna som påverkar genomsökningstiden
  • De vanligaste filnamnstilläggen som påverkar genomsökningstiden
  • Kombinationer – till exempel:
    • de vanligaste filerna per tillägg
    • de översta sökvägarna per tillägg
    • de vanligaste processerna per sökväg
    • de vanligaste genomsökningarna per fil
    • de vanligaste genomsökningarna per fil per process

Du kan använda informationen som samlas in med hjälp av prestandaanalys för att bättre utvärdera prestandaproblem och tillämpa reparationsåtgärder. Se: Prestandaanalys för Microsoft Defender Antivirus.