Resurser för Microsoft Defender för Endpoint på macOS

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Samla in diagnostikinformation

Om du kan återskapa ett problem kan du öka loggningsnivån, köra systemet under en viss tid och återställa loggningsnivån till standardnivån.

1. Öka loggningsnivån:

   mdatp log level set --level debug
   

   Log level configured successfully
   

2. Återskapa problemet

3. Kör sudo mdatp diagnostic create för att säkerhetskopiera Microsoft Defender för Endpoint loggarna. Filerna lagras i ett .zip arkiv. Det här kommandot skriver också ut filsökvägen till säkerhetskopian när åtgärden har slutförts.

   Tips

   Som standard sparas diagnostikloggar i /Library/Application Support/Microsoft/Defender/wdavdiag/. Om du vill ändra katalogen där diagnostikloggar sparas skickar --path [directory] du till kommandot nedan och ersätter [directory] med önskad katalog.

   sudo mdatp diagnostic create
   

   Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
   

4. Återställ loggningsnivå:

   mdatp log level set --level info
   

   Log level configured successfully
   

Problem med loggningsinstallation

Om ett fel inträffar under installationen rapporterar installationsprogrammet endast ett allmänt fel.

Den detaljerade loggen sparas i /Library/Logs/Microsoft/mdatp/install.log. Om du får problem under installationen skickar du den här filen till oss så att vi kan hjälpa till att diagnostisera orsaken. Mer information om hur du felsöker installationsproblem finns i Felsöka installationsproblem för Microsoft Defender för Endpoint på macOS

Avinstallera

Obs!

Innan du avinstallerar Microsoft Defender för Endpoint på macOS bör du avregistrera per Avregistrera icke-Windows-enheter.

Det finns flera sätt att avinstallera Microsoft Defender för Endpoint på macOS. Observera att även om centralt hanterad avinstallation är tillgängligt på JAMF är det ännu inte tillgängligt för Microsoft Intune.

Interaktiv avinstallation

• Öppna Finder-program>. Högerklicka på Microsoft Defender för Endpoint > Flytta till papperskorgen.

Utdatatyper som stöds

Stöder utdatatyper för tabell- och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i önskat utdataformat med hjälp av följande kommandon:

-output json

-output table

Från kommandoraden

• sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

Använda JAMF Pro

Om du vill avinstallera Microsoft Defender för Endpoint på macOS med JAMF Pro laddar du upp avregistreringsprofilen.

Avregistreringsprofilen bör laddas upp utan några ändringar och med inställningsdomännamnet inställt på com.microsoft.wdav.atp.offboarding:

Konfigurera från kommandoraden

Viktiga uppgifter, till exempel att kontrollera produktinställningar och utlösa genomsökningar på begäran, kan utföras från kommandoraden:

Grupp	Scenario	Kommando
Konfiguration	Aktivera/inaktivera passivt antivirusläge	mdatp config passive-mode --value [enabled/disabled]
Konfiguration	Aktivera/inaktivera realtidsskydd	mdatp config real-time-protection --value [enabled/disabled]
Konfiguration	Aktivera/inaktivera molnskydd	mdatp config cloud --value [enabled/disabled]
Konfiguration	Aktivera/inaktivera produktdiagnostik	mdatp config cloud-diagnostic --value [enabled/disabled]
Konfiguration	Aktivera/inaktivera automatisk sändning av exempel	mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
Konfiguration	Aktivera/granska/inaktivera PUA-skydd	mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
Konfiguration	Lägga till/ta bort ett antivirusundantag för en process	mdatp exclusion process [add/remove] --path [path-to-process]Eller mdatp exclusion process [add\|remove] --name [process-name]
Konfiguration	Lägga till/ta bort ett antivirusundantag för en fil	mdatp exclusion file [add/remove] --path [path-to-file]
Konfiguration	Lägga till/ta bort ett antivirusundantag för en katalog	mdatp exclusion folder [add/remove] --path [path-to-directory]
Konfiguration	Lägga till/ta bort ett antivirusundantag för ett filnamnstillägg	mdatp exclusion extension [add/remove] --name [extension]
Konfiguration	Visa en lista över alla antivirusundantag	mdatp exclusion list
Konfiguration	Konfigurera grad av parallellitet för genomsökningar på begäran	mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Konfiguration	Aktivera/inaktivera genomsökningar efter uppdateringar av säkerhetsinformation	mdatp config scan-after-definition-update --value [enabled/disabled]
Konfiguration	Aktivera/inaktivera arkivgenomsökning (endast genomsökningar på begäran)	mdatp config scan-archives --value [enabled/disabled]
Konfiguration	Aktivera/inaktivera beräkningen av filhash	mdatp config enable-file-hash-computation --value [enabled/disabled]
Skydd	Sök igenom en sökväg	mdatp scan custom --path [path] [--ignore-exclusions]
Skydd	Göra en snabbsökning	mdatp scan quick
Skydd	Gör en fullständig genomsökning	mdatp scan full
Skydd	Avbryta en pågående genomsökning på begäran	mdatp scan cancel
Skydd	Begära en säkerhetsinformationsuppdatering	mdatp definitions update
Konfiguration	Lägg till ett hotnamn i listan över tillåtna	mdatp threat allowed add --name [threat-name]
Konfiguration	Ta bort ett hotnamn från listan över tillåtna	mdatp threat allowed remove --name [threat-name]
Konfiguration	Lista alla tillåtna hotnamn	mdatp threat allowed list
Skyddshistorik	Skriv ut den fullständiga skyddshistoriken	mdatp threat list
Skyddshistorik	Hämta hotinformation	mdatp threat get --id [threat-id]
Karantänhantering	Visa en lista över alla filer i karantän	mdatp threat quarantine list
Karantänhantering	Ta bort alla filer från karantänen	mdatp threat quarantine remove-all
Karantänhantering	Lägga till en fil som identifieras som ett hot i karantänen	mdatp threat quarantine add --id [threat-id]
Karantänhantering	Ta bort en fil som identifierats som ett hot från karantänen	mdatp threat quarantine remove --id [threat-id]
Karantänhantering	Återställ en fil från karantänen. Finns i Defender för Endpoint-versionen som är lägre än 101.23092.0012.	mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Karantänhantering	Återställa en fil från karantänen med hot-ID. Finns i Defender för Endpoint version 101.23092.0012 eller senare.	mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
Karantänhantering	Återställ en fil från karantänen med den ursprungliga hotsökvägen. Finns i Defender för Endpoint version 101.23092.0012 eller senare.	mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Konfiguration av nätverksskydd	Konfigurera tvingande nivå för nätverksskydd	mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
Hantering av nätverksskydd	Kontrollera att nätverksskyddet har startats	mdatp health --field network_protection_status
Hantering av enhetskontroll	Är enhetskontroll aktiverat och vad är standardtillämpningen?	mdatp device-control policy preferences list
Hantering av enhetskontroll	Vilken princip för enhetskontroll är aktiverad?	mdatp device-control policy rules list
Hantering av enhetskontroll	Vilka principgrupper för enhetskontroll är aktiverade?	mdatp device-control policy groups list
Konfiguration	Aktivera/inaktivera dataförlustskydd	mdatp config data_loss_prevention --value [enabled/disabled]
Diagnostik	Ändra loggnivå	mdatp log level set --level [error/warning/info/verbose]
Diagnostik	Generera diagnostikloggar	mdatp diagnostic create --path [directory]
Hälsa	Kontrollera produktens hälsa	mdatp health
Hälsa	Sök efter ett specifikt produktattribut	mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR	Undantag för EDR-lista (rot)	mdatp edr exclusion list [processes|paths|extensions|all]
EDR	Ange/ta bort tagg, endast GRUPP som stöds	mdatp edr tag set --name GROUP --value [name]
EDR	Ta bort grupptagg från enhet	mdatp edr tag remove --tag-name [name]
EDR	Lägg till grupp-ID	mdatp edr group-ids --group-id [group]

Så här aktiverar du automatisk komplettering

Om du vill aktivera automatisk komplettering i bash kör du följande kommando och startar om terminalsessionen:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

Så här aktiverar du automatisk komplettering i zsh:

• Kontrollera om automatisk komplettering är aktiverat på enheten:

  cat ~/.zshrc | grep autoload
  

• Om föregående kommando inte genererar några utdata kan du aktivera automatisk komplettering med hjälp av följande kommando:

  echo "autoload -Uz compinit && compinit" >> ~/.zshrc
  

• Kör följande kommandon för att aktivera automatisk komplettering för Microsoft Defender för Endpoint på macOS och starta om terminalsessionen:

  sudo mkdir -p /usr/local/share/zsh/site-functions
  
  sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
  

Karantänkatalog för klient Microsoft Defender för Endpoint

/Library/Application Support/Microsoft/Defender/quarantine/ innehåller filerna i karantän av mdatp. Filerna namnges efter hotspårnings-ID:et. Aktuella trackingIds visas med mdatp threat list.

Microsoft Defender för Endpoint portalinformation

Den Microsoft Defender för Endpoint bloggen, EDR-funktioner för macOS har nu kommit ger detaljerad vägledning om vad du kan förvänta dig.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.