macOS'ta Uç Nokta için Microsoft Defender sorun giderme modu

Şunlar için geçerlidir:

• Microsoft Defender XDR
• Uç Nokta için Microsoft Defender Planı 2
• Uç Nokta için Microsoft Defender Planı 1
• macOS üzerinde Uç Nokta için Microsoft Defender

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Bu makalede, kuruluş ilkeleri cihazları yönetse bile yöneticilerin çeşitli Microsoft Defender Virüsten Koruma özelliklerini geçici olarak giderebilmesi için macOS'ta Uç Nokta için Microsoft Defender sorun giderme modunun nasıl etkinleştirileceği açıklanır.

Örneğin, kurcalama koruması etkinse bazı ayarlar değiştirilemez veya kapatılamaz, ancak bu ayarları geçici olarak düzenlemek için cihazda sorun giderme modunu kullanabilirsiniz.

Sorun giderme modu varsayılan olarak devre dışıdır ve bir cihaz (ve/veya cihaz grubu) için sınırlı bir süre için açmanızı gerektirir. Sorun giderme modu yalnızca kurumsal bir özelliktir ve Microsoft Defender portalına erişim gerektirir.

Başlamadan önce bilmeniz gerekenler

Sorun giderme modu sırasında şunları yapabilirsiniz:

• macOS işlevsel sorun giderme /uygulama uyumluluğunda (hatalı pozitifler) Uç Nokta için Microsoft Defender kullanın.

• Uygun izinlere sahip yerel yöneticiler, tek tek uç noktalarda aşağıdaki ilke kilitli yapılandırmalarını değiştirebilir:

  Ayar	Etkinleştirmek	Devre Dışı Bırak/Kaldır
  Real-Time Koruması/ Pasif mod / İsteğe Bağlı	mdatp config real-time-protection --value enabled	mdatp config real-time-protection --value disabled
  Ağ Koruması	mdatp config network-protection enforcement-level --value block	mdatp config network-protection enforcement-level --value disabled
  realTimeProtectionStatistics	mdatp config real-time-protection-statistics --value enabled	mdatp config real-time-protection-statistics --value disabled
  Etiketler	mdatp edr tag set --name GROUP --value [name]	mdatp edr tag remove --tag-name [name]
  groupId'ler	mdatp edr group-ids --group-id [group]
  Uç Nokta DLP	mdatp config data_loss_prevention --value enabled	mdatp config data_loss_prevention --value disabled

Sorun giderme modu sırasında şunları yapamazsınız:

• macOS'ta Uç Nokta için Microsoft Defender için kurcalama korumasını devre dışı bırakın.
• macOS'ta Uç Nokta için Microsoft Defender kaldırın.

Önkoşullar

• Uç Nokta için Microsoft Defender için desteklenen macOS sürümü.
• Uç Nokta için Microsoft Defender kiracıya kaydedilmiş ve cihazda etkin olmalıdır.
• Uç Nokta için Microsoft Defender'de "Güvenlik Merkezi'nde güvenlik ayarlarını yönetme" izinleri.
• Platform Güncelleştirmesi sürümü: 101.23122.0005 veya üzeri.

macOS'ta sorun giderme modunu etkinleştirme

1. Microsoft Defender portalına gidin ve oturum açın.

2. Sorun giderme modunu açmak istediğiniz cihaz sayfasına gidin. Ardından üç noktayı (...) ve ardından Sorun giderme modunu aç'ı seçin.

   

   Not

   Sorun giderme modunu aç seçeneği, cihaz sorun giderme modu önkoşullarını karşılamasa bile tüm cihazlarda kullanılabilir.

3. Bölmede görüntülenen bilgileri okuyun ve hazır olduğunuzda Gönder'i seçerek ilgili cihaz için sorun giderme modunu açmak istediğinizi onaylayın.

4. Değişikliğin görüntülenen metnin geçerlilik kazanmasının birkaç dakika sürebileceğini göreceksiniz. Bu süre boyunca, üç noktayı yeniden seçtiğinizde Sorun Giderme modunu aç beklemede seçeneğinin gri olduğunu görürsünüz.

5. İşlem tamamlandıktan sonra cihaz sayfasında cihazın artık sorun giderme modunda olduğu gösterilir.

   Son kullanıcı macOS cihazında oturum açtıysa aşağıdaki metni görür:

   Sorun giderme modu başlatıldı. Bu mod, Yöneticiniz tarafından yönetilen ayarları geçici olarak değiştirmenize olanak tanır. YEAR-MM-DDTHH:MM:SSZ ile sona erer.

   Tamam'ı seçin.

6. Etkinleştirildikten sonra, sorun giderme modunda (TS Modu) togglable olan farklı komut satırı seçeneklerini test edebilirsiniz.

   Örneğin, gerçek zamanlı korumayı devre dışı bırakmak için komutunu kullandığınızda mdatp config real-time-protection --value disabled parolanızı girmeniz istenir. Parolanızı girdikten sonra Tamam'ı seçin.

   

   Aşağıdaki ekran görüntüsüne benzer çıkış raporu, mdatp sistem durumunun real_time_protection_enabled "false" ve tamper_protection "blok" olarak çalıştırılmasında görüntülenir.

   

Algılama için gelişmiş tehdit avcılığı sorguları

Ortamınızda gerçekleşen sorun giderme olaylarına görünürlük sağlamak için önceden oluşturulmuş bazı gelişmiş tehdit avcılığı sorguları vardır. Cihazlar sorun giderme modundayken uyarı oluşturmak üzere algılama kuralları oluşturmak için bu sorguları kullanabilirsiniz.

Belirli bir cihaz için sorun giderme olaylarını alma

İlgili satırlara göre deviceId veya deviceName açıklama satırı yaparak arama yapmak için aşağıdaki sorguyu kullanabilirsiniz.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Şu anda sorun giderme modunda olan cihazlar

Şu anda sorun giderme modunda olan cihazları aşağıdaki sorguyu kullanarak bulabilirsiniz:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Cihaza göre sorun giderme modu örneklerinin sayısı

Aşağıdaki sorguyu kullanarak bir cihaz için sorun giderme modu örneklerinin sayısını bulabilirsiniz:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Toplam sayı

Aşağıdaki sorguyu kullanarak sorun giderme modu örneklerinin toplam sayısını öğrenebilirsiniz:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Önerilen içerik

• Mac'te Uç Nokta için Microsoft Defender XDR
• Cloud Apps için Microsoft Defender XDR ile Uç Nokta tümleştirmesi için Microsoft Defender XDR
• Microsoft Edge'deki yenilikçi özellikleri tanımaya başlama
• Ağınızı koruyun
• Ağ korumasını açın
• Web koruması
• Göstergeleri oluşturun
• Web içeriği filtreleme

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.