Uç Nokta için Microsoft Defender'de sorun giderme modunu kullanmaya başlama

Uç Nokta için Microsoft Defender'deki sorun giderme modu, cihazlar kuruluş ilkeleri tarafından yönetilse bile yöneticilerin çeşitli Microsoft Defender Virüsten Koruma özelliklerini gidermesine olanak tanır. Örneğin, kurcalama koruması etkinse , bazı ayarlar değiştirilemez veya kapatılamaz, ancak bu ayarları geçici olarak düzenlemek için bir cihazda sorun giderme modunu kullanabilirsiniz.

Sorun giderme modu varsayılan olarak devre dışıdır ve bir cihaz (ve/veya cihaz grubu) için sınırlı bir süre için açmanızı gerektirir. Sorun giderme modu yalnızca kurumsal bir özelliktir ve portal erişimi Microsoft Defender gerektirir.

Bu makalede, Windows cihazları için sorun giderme modu açıklanmaktadır. Mac'te sorun giderme modu hakkında bilgi için bkz. macOS'ta Uç Nokta için Microsoft Defender sorun giderme modu.

İpucu

• Sorun giderme modu sırasında Windows cihazlarında PowerShell komutunu Set-MPPreference -DisableTamperProtection $true kullanabilirsiniz.
• Kurcalama korumasının durumunu denetlemek için Get-MpComputerStatus PowerShell cmdlet'ini kullanabilirsiniz. Sonuç listesinde veya RealTimeProtectionEnabledöğesini arayınIsTamperProtected. ( True değeri, kurcalama korumasının etkinleştirildiği anlamına gelir.)
• Mac cihazlar için bkz. macOS'ta Uç Nokta için Microsoft Defender sorun giderme modu.

Başlamadan önce bilmeniz gerekenler

Sorun giderme modu sırasında PowerShell komutunu Set-MPPreference -DisableTamperProtection $true veya istemci işletim sistemlerinde Güvenlik Merkezi uygulamasını kullanarak cihazınızda kurcalama korumasını geçici olarak devre dışı bırakabilir ve gerekli yapılandırma değişikliklerinizi yapabilirsiniz.

Uygulama bloklarında hatalı pozitif sonuçların ortaya çıkması gibi durumlarda Microsoft Defender Virüsten Koruma ile uygulama uyumluluğunu denetlemek veya sorunlarını gidermek için sorun giderme modunu kullanabilirsiniz.

Uygun izinlerle, yerel yöneticiler genellikle ilke tarafından kilitlenen tek tek cihazlarda yapılandırmayı değiştirebilir. Microsoft Defender Virüsten Koruma performans ve uyumluluk senaryolarını tanılamak için bir cihazın sorun giderme modunda olması yararlı olabilir. Yerel yöneticiler virüsten koruma Microsoft Defender kapatamaz veya kaldıramaz. Yerel yöneticiler Microsoft Defender Virüsten Koruma paketindeki diğer tüm güvenlik ayarlarını yapılandırabilir (örneğin, bulut koruması, kurcalama koruması).

Sorun giderme modunu açmak için yöneticilerin "Güvenlik ayarlarını yönetme" izinleri olmalıdır.

Uç Nokta için Defender, sorun giderme işlemi boyunca günlükleri ve araştırma verilerini toplar.

• Sorun giderme modu başlamadan önce anlık görüntüsü MpPreference alınır.
• Sorun giderme modunun süresi dolmadan hemen önce ikinci bir anlık görüntü alınır.
• Sorun giderme modu sırasında gelen işlem günlükleri de toplanır.
• Günlükler ve anlık görüntüler toplanır ve yöneticinin cihaz sayfasındaki Araştırma paketini topla özelliğini kullanarak toplaması için kullanılabilir. Microsoft, bir yönetici tarafından toplanana kadar bu verileri cihazdan kaldırmaz.

Yöneticiler, cihazdaki Olay Görüntüleyicisi sorun giderme modu sırasında gerçekleşen ayarlardaki değişiklikleri de gözden geçirebilir.

• Olay Görüntüleyicisi'ı açın, Ardından Uygulama ve Hizmet Günlükleri>Microsoft>Windows Windows>Defender'ı genişletin ve ardından İşletimsel'i seçin.
• Olası olaylar 5000, 5001, 5004, 5007 ve diğer kimliklere sahip olayları içerebilir. Microsoft Defender Virüsten Koruma ile ilgili sorunları gidermek için olay günlüklerini ve hata kodlarını gözden geçirme makalesinde daha fazla ayrıntıya bakın.

Sorun giderme modu son kullanma süresine ulaştıktan sonra otomatik olarak kapanır (4 saat sürer). Sorun giderme modunun süresi dolduğunda, ilkeyle yönetilen tüm yapılandırmalar yeniden salt okunur hale gelir ve sorun giderme modunu etkinleştirmeden önce cihazın nasıl yapılandırıldığına geri döner.

Not

Sorun giderme modu, cihaz başına günde 8 saat ile sınırlıdır. Bu değiştirilemez. Sorun giderme modu ilk kez etkinleştirildikten 24 saat sonra 8 saatlik kota sıfırlanır.

Komutun Microsoft Defender XDR cihazda etkin hale gelmesi 15 dakika kadar sürebilir.

Sorun giderme modu başladığında ve sorun giderme modu sona erdiğinde kullanıcıya bildirimler gönderilir. Sorun giderme modunun yakında sona erdiğini belirten bir uyarı da gönderilir. Sorun giderme modunun başlangıcı ve sonu, Microsoft Defender portalında, cihaz sayfasındaki Cihaz Zaman Çizelgesi'nde de tanımlanır.

Gelişmiş tehdit avcılığında tüm sorun giderme modu olaylarını sorgulayabilirsiniz.

Not

sorun giderme modunda etkin durumdayken cihaza ilke yönetimi değişiklikleri uygulanır. Ancak, sorun giderme modunun süresi dolana kadar değişiklikler geçerli olmaz. Ayrıca, Microsoft Defender Virüsten Koruma Platformu güncelleştirmeleri Sorun Giderme modu sırasında uygulanmaz. Sorun giderme modu bir Windows güncelleştirmesi ile sona erdiğinde platform güncelleştirmeleri uygulanır.

Önkoşullar

• Cihazların desteklenen bir işletim sistemi çalıştırıyor olması gerekir.

  • Windows 10 (sürüm 19044.1618 veya üzeri)

  • Windows 11

  • Windows Server 2019 ve üzeri

  • Azure Stack HCI OS, sürüm 23H2 ve üzeri.

    Sömestr/Redstone	İşletim sistemi sürümü	Sürüm
    21H2/SV1	22000.593 veya üzeri	KB5011563: Microsoft Update Kataloğu
    20H1/20H2/21H1	19042.1620 veya üzeri 19041.1620 veya üzeri 19043.1620 veya üzeri	KB5011543: Microsoft Update Kataloğu
    Windows Server 2022 veya üzeri	20348.617 veya üzeri	KB5011558: Microsoft Update Kataloğu
    Windows Server 2019 (RS5)	17763.2746 veya üzeri	KB5011551: Microsoft Update Kataloğu

  • R2'yi Windows Server 2012 ve aşağıdaki bileşenlerin tümü güncel olarak modern birleşik çözümü kullanarak Windows Server 2016:

    Bileşen	Sürüm	Sürüm
    Akıllı sürüm	10.8049.22439.1084 veya üzeri	KB5005292: Microsoft Update Kataloğu
    Microsoft Defender Virüsten Koruma	Platform: 4.18.2207.7 veya üzeri	KB4052623: Microsoft Update Kataloğu
    Microsoft Defender Virüsten Koruma	Altyapı: 1.1.19500.2 veya üzeri	KB2267602: Microsoft Update Kataloğu

• Uç Nokta için Defender kiracıya kaydedilmiş ve cihazda etkin olmalıdır.

• Cihazların virüsten koruma, sürüm 4.18.2203 or laterMicrosoft Defender etkin bir şekilde çalışıyor olması gerekir.

• macOS cihazları için bkz. Mac'te sorun giderme modu için önkoşullar.

Sorun giderme modunu etkinleştirme

1. Microsoft Defender portalına gidin ve oturum açın.

2. Sorun giderme modunu açmak istediğiniz cihazın cihaz sayfasına/makine sayfasına gidin. Sorun giderme modunu aç'ı seçin. Uç Nokta için Microsoft Defender için "Güvenlik Merkezi'nde güvenlik ayarlarını yönetme" izinlerine sahip olmanız gerekir.

   

   Not

   Sorun giderme modunu aç seçeneği, cihaz sorun giderme modu önkoşullarını karşılamasa bile tüm cihazlarda kullanılabilir.

3. Cihaz için sorun giderme modunu açmak istediğinizi onaylayın.

   

4. Cihaz sayfasında cihazın artık sorun giderme modunda olduğu gösterilir.

   

Gelişmiş tehdit avcılığı sorguları

Aşağıda, ortamınızda gerçekleşen sorun giderme olaylarına görünürlük sağlamak için önceden oluşturulmuş bazı gelişmiş tehdit avcılığı sorguları yer alır. Bu sorguları, cihazlar sorun giderme modundayken uyarı oluşturmak üzere algılama kuralları oluşturmak için de kullanabilirsiniz.

Belirli bir cihaz için sorun giderme olaylarını alma

İlgili satırları açıklama satırı yaparak deviceId veya deviceName ölçütüne göre arama gerçekleştirin.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Şu anda sorun giderme modunda olan cihazlar

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Cihaza göre sorun giderme modu örneklerinin sayısı

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Toplam sayı

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

İlgili makaleler

• macOS'ta Uç Nokta için Microsoft Defender sorun giderme modu
• Microsoft Defender Virüsten Koruma için performans çözümleyicisi.
• Sorun giderme modu senaryoları
• Değişiklik korumasıyla güvenlik ayarlarını koruyun