Resurser för Microsoft Defender för Endpoint på macOS
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Samla in diagnostikinformation
Om du kan återskapa ett problem kan du öka loggningsnivån, köra systemet under en viss tid och återställa loggningsnivån till standardnivån.
Öka loggningsnivån:
mdatp log level set --level debugLog level configured successfullyÅterskapa problemet
Kör
sudo mdatp diagnostic createför att säkerhetskopiera Microsoft Defender för Endpoint loggarna. Filerna lagras i ett .zip arkiv. Det här kommandot skriver också ut filsökvägen till säkerhetskopian när åtgärden har slutförts.Tips
Som standard sparas diagnostikloggar i
/Library/Application Support/Microsoft/Defender/wdavdiag/. Om du vill ändra katalogen där diagnostikloggar sparas skickar--path [directory]du till kommandot nedan och ersätter[directory]med önskad katalog.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Återställ loggningsnivå:
mdatp log level set --level infoLog level configured successfully
Problem med loggningsinstallation
Om ett fel inträffar under installationen rapporterar installationsprogrammet endast ett allmänt fel.
Den detaljerade loggen sparas i /Library/Logs/Microsoft/mdatp/install.log. Om du får problem under installationen skickar du den här filen till oss så att vi kan hjälpa till att diagnostisera orsaken.
Mer information om hur du felsöker installationsproblem finns i Felsöka installationsproblem för Microsoft Defender för Endpoint på macOS
Avinstallera
Obs!
Innan du avinstallerar Microsoft Defender för Endpoint på macOS bör du avregistrera per Avregistrera icke-Windows-enheter.
Det finns flera sätt att avinstallera Microsoft Defender för Endpoint på macOS. Observera att även om centralt hanterad avinstallation är tillgängligt på JAMF är det ännu inte tillgängligt för Microsoft Intune.
Interaktiv avinstallation
- Öppna Finder-program>. Högerklicka på Microsoft Defender för Endpoint > Flytta till papperskorgen.
Utdatatyper som stöds
Stöder utdatatyper för tabell- och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i önskat utdataformat med hjälp av följande kommandon:
-output json
-output table
Från kommandoraden
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Konfigurera från kommandoraden
Viktiga uppgifter, till exempel att kontrollera produktinställningar och utlösa genomsökningar på begäran, kan utföras från kommandoraden:
| Grupp | Scenario | Kommando |
|---|---|---|
| Konfiguration | Aktivera/inaktivera passivt antivirusläge | mdatp config passive-mode --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera realtidsskydd | mdatp config real-time-protection --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera molnskydd | mdatp config cloud --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera produktdiagnostik | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera automatisk sändning av exempel | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Konfiguration | Aktivera/granska/inaktivera PUA-skydd | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för en process | mdatp exclusion process [add/remove] --path [path-to-process]Eller mdatp exclusion process [add\|remove] --name [process-name] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för en fil | mdatp exclusion file [add/remove] --path [path-to-file] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för en katalog | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för ett filnamnstillägg | mdatp exclusion extension [add/remove] --name [extension] |
| Konfiguration | Visa en lista över alla antivirusundantag | mdatp exclusion list |
| Konfiguration | Konfigurera grad av parallellitet för genomsökningar på begäran | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfiguration | Aktivera/inaktivera genomsökningar efter uppdateringar av säkerhetsinformation | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera arkivgenomsökning (endast genomsökningar på begäran) | mdatp config scan-archives --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera beräkningen av filhash | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Skydd | Sök igenom en sökväg | mdatp scan custom --path [path] [--ignore-exclusions] |
| Skydd | Göra en snabbsökning | mdatp scan quick |
| Skydd | Gör en fullständig genomsökning | mdatp scan full |
| Skydd | Avbryta en pågående genomsökning på begäran | mdatp scan cancel |
| Skydd | Begära en säkerhetsinformationsuppdatering | mdatp definitions update |
| Konfiguration | Lägg till ett hotnamn i listan över tillåtna | mdatp threat allowed add --name [threat-name] |
| Konfiguration | Ta bort ett hotnamn från listan över tillåtna | mdatp threat allowed remove --name [threat-name] |
| Konfiguration | Lista alla tillåtna hotnamn | mdatp threat allowed list |
| Skyddshistorik | Skriv ut den fullständiga skyddshistoriken | mdatp threat list |
| Skyddshistorik | Hämta hotinformation | mdatp threat get --id [threat-id] |
| Karantänhantering | Visa en lista över alla filer i karantän | mdatp threat quarantine list |
| Karantänhantering | Ta bort alla filer från karantänen | mdatp threat quarantine remove-all |
| Karantänhantering | Lägga till en fil som identifieras som ett hot i karantänen | mdatp threat quarantine add --id [threat-id] |
| Karantänhantering | Ta bort en fil som identifierats som ett hot från karantänen | mdatp threat quarantine remove --id [threat-id] |
| Karantänhantering | Återställa en fil från karantänen | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Konfiguration av nätverksskydd | Konfigurera tvingande nivå för nätverksskydd | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Hantering av nätverksskydd | Kontrollera att nätverksskyddet har startats | mdatp health --field network_protection_status |
| Hantering av enhetskontroll | Är enhetskontroll aktiverat och vad är standardtillämpningen? | mdatp device-control policy preferences list |
| Hantering av enhetskontroll | Vilken princip för enhetskontroll är aktiverad? | mdatp device-control policy rules list |
| Hantering av enhetskontroll | Vilka principgrupper för enhetskontroll är aktiverade? | mdatp device-control policy groups list |
| Konfiguration | Aktivera/inaktivera dataförlustskydd | mdatp config data_loss_prevention --value [enabled/disabled] |
| Diagnostik | Ändra loggnivå | mdatp log level set --level [error/warning/info/verbose] |
| Diagnostik | Generera diagnostikloggar | mdatp diagnostic create --path [directory] |
| Hälsa | Kontrollera produktens hälsa | mdatp health |
| Hälsa | Sök efter ett specifikt produktattribut | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | Undantag för EDR-lista (rot) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Ange/ta bort tagg, endast GRUPP som stöds | mdatp edr tag set --name GROUP --value [name] |
| EDR | Ta bort grupptagg från enhet | mdatp edr tag remove --tag-name [name] |
| EDR | Lägg till grupp-ID | mdatp edr group-ids --group-id [group] |
Så här aktiverar du automatisk komplettering
Om du vill aktivera automatisk komplettering i bash kör du följande kommando och startar om terminalsessionen:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Så här aktiverar du automatisk komplettering i zsh:
Kontrollera om automatisk komplettering är aktiverat på enheten:
cat ~/.zshrc | grep autoloadOm föregående kommando inte genererar några utdata kan du aktivera automatisk komplettering med hjälp av följande kommando:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcKör följande kommandon för att aktivera automatisk komplettering för Microsoft Defender för Endpoint på macOS och starta om terminalsessionen:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Karantänkatalog för klient Microsoft Defender för Endpoint
/Library/Application Support/Microsoft/Defender/quarantine/ innehåller filerna i karantän av mdatp. Filerna namnges efter hotspårnings-ID:et. Aktuella trackingIds visas med mdatp threat list.
Microsoft Defender för Endpoint portalinformation
Den Microsoft Defender för Endpoint bloggen, EDR-funktioner för macOS har nu kommit ger detaljerad vägledning om vad du kan förvänta dig.
Tips
Vill du lära dig mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.