Aracılığıyla paylaş

macOS'ta Uç Nokta için Microsoft Defender sorun giderme modu

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Bu makalede, kuruluş ilkeleri cihazları yönetse bile yöneticilerin çeşitli Microsoft Defender Virüsten Koruma özelliklerini geçici olarak giderebilmesi için macOS'ta Uç Nokta için Microsoft Defender sorun giderme modunun nasıl etkinleştirileceği açıklanır.

Örneğin, kurcalama koruması etkinse bazı ayarlar değiştirilemez veya kapatılamaz, ancak bu ayarları geçici olarak düzenlemek için cihazda sorun giderme modunu kullanabilirsiniz.

Sorun giderme modu varsayılan olarak devre dışıdır ve bir cihaz (ve/veya cihaz grubu) için sınırlı bir süre için açmanızı gerektirir. Sorun giderme modu yalnızca kurumsal bir özelliktir ve Microsoft Defender portalına erişim gerektirir.

Başlamadan önce bilmeniz gerekenler

Sorun giderme modu sırasında şunları yapabilirsiniz:

  • macOS işlevsel sorun giderme /uygulama uyumluluğunda (hatalı pozitifler) Uç Nokta için Microsoft Defender kullanın.

  • Uygun izinlere sahip yerel yöneticiler, tek tek uç noktalarda aşağıdaki ilke kilitli yapılandırmalarını değiştirebilir:

    Ayar Etkinleştirmek Devre Dışı Bırak/Kaldır
    Real-Time Koruması/ Pasif mod / İsteğe Bağlı mdatp config real-time-protection --value enabled mdatp config real-time-protection --value disabled
    Ağ Koruması mdatp config network-protection enforcement-level --value block mdatp config network-protection enforcement-level --value disabled
    realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled mdatp config real-time-protection-statistics --value disabled
    Etiketler mdatp edr tag set --name GROUP --value [name] mdatp edr tag remove --tag-name [name]
    groupId'ler mdatp edr group-ids --group-id [group]
    Uç Nokta DLP mdatp config data_loss_prevention --value enabled mdatp config data_loss_prevention --value disabled

Sorun giderme modu sırasında şunları yapamazsınız:

  • macOS'ta Uç Nokta için Microsoft Defender için kurcalama korumasını devre dışı bırakın.
  • macOS'ta Uç Nokta için Microsoft Defender kaldırın.

Önkoşullar

  • Uç Nokta için Microsoft Defender için desteklenen macOS sürümü.
  • Uç Nokta için Microsoft Defender kiracıya kaydedilmiş ve cihazda etkin olmalıdır.
  • Uç Nokta için Microsoft Defender'de "Güvenlik Merkezi'nde güvenlik ayarlarını yönetme" izinleri.
  • Platform Güncelleştirmesi sürümü: 101.23122.0005 veya üzeri.

macOS'ta sorun giderme modunu etkinleştirme

  1. Microsoft Defender portalına gidin ve oturum açın.

  2. Sorun giderme modunu açmak istediğiniz cihaz sayfasına gidin. Ardından üç noktayı (...) ve ardından Sorun giderme modunu aç'ı seçin.

    Mac'te sorun giderme modunun ekran görüntüsünü gösteren ekran görüntüsü.

    Not

    Sorun giderme modunu aç seçeneği, cihaz sorun giderme modu önkoşullarını karşılamasa bile tüm cihazlarda kullanılabilir. Daha fazla bilgi için bu makalenin devamında sorun giderme moduyla ilgili sorunlar bölümüne bakın.

  3. Bölmede görüntülenen bilgileri okuyun ve hazır olduğunuzda Gönder'i seçerek ilgili cihaz için sorun giderme modunu açmak istediğinizi onaylayın.

  4. Değişikliğin görüntülenen metnin geçerlilik kazanmasının birkaç dakika sürebileceğini göreceksiniz. Bu süre boyunca, üç noktayı yeniden seçtiğinizde Sorun Giderme modunu aç beklemede seçeneğinin gri olduğunu görürsünüz.

  5. İşlem tamamlandıktan sonra cihaz sayfasında cihazın artık sorun giderme modunda olduğu gösterilir.

    Son kullanıcı macOS cihazında oturum açtıysa aşağıdaki metni görür:

    Sorun giderme modu başlatıldı. Bu mod, Yöneticiniz tarafından yönetilen ayarları geçici olarak değiştirmenize olanak tanır. YEAR-MM-DDTHH:MM:SSZ ile sona erer.

    Tamam'ı seçin.

  6. Etkinleştirildikten sonra, sorun giderme modunda (TS Modu) togglable olan farklı komut satırı seçeneklerini test edebilirsiniz.

    Örneğin, gerçek zamanlı korumayı devre dışı bırakmak için komutunu kullandığınızda mdatp config real-time-protection --value disabled parolanızı girmeniz istenir. Parolanızı girdikten sonra Tamam'ı seçin.

    Gerçek zamanlı korumanın devre dışı bırakıldığını gösteren ekran görüntüsü.

    Aşağıdaki ekran görüntüsüne benzer çıkış raporu, mdatp sistem durumunun real_time_protection_enabled "false" ve tamper_protection "blok" olarak çalıştırılmasında görüntülenir.

    Çalışan mdatp sistem durumunun çıkış raporunun ekran görüntüsünü gösteren ekran görüntüsü.

Algılama için gelişmiş tehdit avcılığı sorguları

Ortamınızda gerçekleşen sorun giderme olaylarına görünürlük sağlamak için önceden oluşturulmuş bazı gelişmiş tehdit avcılığı sorguları vardır. Cihazlar sorun giderme modundayken uyarı oluşturmak üzere algılama kuralları oluşturmak için bu sorguları kullanabilirsiniz.

Belirli bir cihaz için sorun giderme olaylarını alma

İlgili satırlara göre deviceId veya deviceName açıklama satırı yaparak arama yapmak için aşağıdaki sorguyu kullanabilirsiniz.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Şu anda sorun giderme modunda olan cihazlar

Şu anda sorun giderme modunda olan cihazları aşağıdaki sorguyu kullanarak bulabilirsiniz:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Cihaza göre sorun giderme modu örneklerinin sayısı

Aşağıdaki sorguyu kullanarak bir cihaz için sorun giderme modu örneklerinin sayısını bulabilirsiniz:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Toplam sayı

Aşağıdaki sorguyu kullanarak sorun giderme modu örneklerinin toplam sayısını öğrenebilirsiniz:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Sorun giderme moduyla ilgili sorunlar

Sorun giderme modunu etkinleştiremiyorsanız hedef Mac'te aşağıdaki sorun giderme adımlarını uygulayın:

  • Aşağıdaki komutları çalıştırarak uygulama sürümünü doğrulayın:

    mdatp health --field app_version

mdatp health --field edr_client_version

    Daha önce belirtildiği gibi Platform Güncelleştirmesi sürümüne ihtiyacınız vardır: 101.23122.0005 veya üzeri.

  • Aşağıdaki komutları çalıştırarak cihazın kaydedilip etkin olduğunu doğrulayın:

    mdatp health --field edr_machine_id

mdatp connectivity test

    Tüm uç noktalar [Tamam] öğesini göstermelidir.

  • Aşağıdaki komutu çalıştırarak yapılandırma kaynağını doğrulayın:

    mdatp health --field managed_by

    MDE Uç Nokta için Microsoft Defender Ekle'ye işaret eder ve öncelik alır. MEM, Microsoft Intune veya Apple Jamf'i gösterir.

  • Gerekli profil yollarını doğrulayın:

    • /Library/Preferences/com.microsoft.mdeattach.plist
    • /Library/Yönetilen Tercihler/com.microsoft.wdav*.plist

Günlüğe kaydetmeyi yükseltmek ve tanılamaları toplamak için aşağıdaki komutları çalıştırın ve sorun giderme modunu yeniden etkinleştirmeyi deneyin:


sudo mdatp log level set --level debug

sudo mdatp diagnostic create

sudo mdatp log level set --level info

Önerilen içerik

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.

  • Last updated on