macOS 上的Microsoft Defender for Endpoint资源

项目
02/27/2024

适用于：

希望体验 Microsoft Defender for Endpoint？注册免费试用版。

收集诊断信息

如果可以重现问题，请提高日志记录级别，运行系统一段时间，并将日志记录级别还原为默认值。

提高日志记录级别：

mdatp log level set --level debug

Log level configured successfully

重现问题
运行 sudo mdatp diagnostic create 以备份Microsoft Defender for Endpoint日志。这些文件将存储在 .zip 存档中。此命令还会在操作成功后输出备份的文件路径。

提示

默认情况下，诊断日志保存到 /Library/Application Support/Microsoft/Defender/wdavdiag/。若要更改保存诊断日志的目录，请传递给 --path [directory] 以下命令，并将 [directory] 替换为所需的目录。
```
sudo mdatp diagnostic create
```
```
Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
```

还原日志记录级别：

mdatp log level set --level info

Log level configured successfully

日志记录安装问题

如果在安装过程中发生错误，安装程序将仅报告常规故障。

详细日志将保存到 /Library/Logs/Microsoft/mdatp/install.log。如果在安装过程中遇到问题，请将此文件发送给我们，以便我们帮助诊断原因。若要进一步排查安装问题，请查看排查 macOS 上Microsoft Defender for Endpoint的安装问题

卸载

注意

在 macOS 上卸载Microsoft Defender for Endpoint之前，请为每个非 Windows 设备卸载。

可通过多种方式在 macOS 上卸载Microsoft Defender for Endpoint。请注意，虽然集中管理的卸载在 JAMF 上可用，但它尚不可用于Microsoft Intune。

交互式卸载

打开 Finder > 应用程序。右键单击Microsoft Defender for Endpoint>移动到回收站。

支持的输出类型

支持表和 JSON 格式输出类型。对于每个命令，都有一个默认的输出行为。可以使用以下命令以首选输出格式修改输出：

-output json

-output table

从命令行

sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

使用 JAMF Pro

若要在 macOS 上使用 JAMF Pro 卸载Microsoft Defender for Endpoint，请上传卸载配置文件。

应在不进行任何修改的情况下上传 卸载配置文件 ，并将“首选项域名”设置为 com.microsoft.wdav.atp.offboarding：

从命令行进行配置

可以通过命令行完成重要任务，例如控制产品设置和触发按需扫描：

组	应用场景	命令
配置	打开/关闭防病毒被动模式	`mdatp config passive-mode --value [enabled/disabled]`
配置	打开/关闭实时保护	`mdatp config real-time-protection --value [enabled/disabled]`
配置	打开/关闭云保护	`mdatp config cloud --value [enabled/disabled]`
配置	打开/关闭产品诊断	`mdatp config cloud-diagnostic --value [enabled/disabled]`
配置	打开/关闭自动示例提交	`mdatp config cloud-automatic-sample-submission --value [enabled/disabled]`
配置	打开/审核/关闭 PUA 保护	`mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off`
配置	为进程添加/删除防病毒排除项	`mdatp exclusion process [add/remove] --path [path-to-process]`或 `mdatp exclusion process [add\\|remove] --name [process-name]`
配置	为文件添加/删除防病毒排除项	`mdatp exclusion file [add/remove] --path [path-to-file]`
配置	为目录添加/删除防病毒排除项	`mdatp exclusion folder [add/remove] --path [path-to-directory]`
配置	为文件扩展名添加/删除防病毒排除项	`mdatp exclusion extension [add/remove] --name [extension]`
配置	列出所有防病毒排除项	`mdatp exclusion list`
配置	配置按需扫描的并行度	`mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]`
配置	在安全智能更新后打开/关闭扫描	`mdatp config scan-after-definition-update --value [enabled/disabled]`
配置	仅) 启用/关闭存档扫描 (按需扫描	`mdatp config scan-archives --value [enabled/disabled]`
配置	打开/关闭文件哈希计算	`mdatp config enable-file-hash-computation --value [enabled/disabled]`
保护	扫描路径	`mdatp scan custom --path [path] [--ignore-exclusions]`
保护	执行快速扫描	`mdatp scan quick`
保护	执行完全扫描	`mdatp scan full`
保护	取消正在进行的按需扫描	`mdatp scan cancel`
保护	请求安全智能更新	`mdatp definitions update`
配置	向允许列表添加威胁名称	`mdatp threat allowed add --name [threat-name]`
配置	从允许列表中删除威胁名称	`mdatp threat allowed remove --name [threat-name]`
配置	列出所有允许的威胁名称	`mdatp threat allowed list`
保护历史记录	打印完整的保护历史记录	`mdatp threat list`
保护历史记录	获取威胁详细信息	`mdatp threat get --id [threat-id]`
隔离管理	列出所有隔离的文件	`mdatp threat quarantine list`
隔离管理	从隔离区中删除所有文件	`mdatp threat quarantine remove-all`
隔离管理	将检测到为威胁的文件添加到隔离区	`mdatp threat quarantine add --id [threat-id]`
隔离管理	从隔离区中删除检测到威胁的文件	`mdatp threat quarantine remove --id [threat-id]`
隔离管理	从隔离区还原文件。在低于 101.23092.0012 的 Defender for Endpoint 版本中可用。	`mdatp threat quarantine restore --id [threat-id] --path [destination-folder]`
隔离管理	使用威胁 ID 从隔离区还原文件。在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。	`mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]`
隔离管理	使用威胁原始路径从隔离区还原文件。在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。	`mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]`
网络保护配置	配置网络保护强制级别	`mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]`
网络保护管理	检查网络保护是否已成功启动	`mdatp health --field network_protection_status`
设备控制管理	是否已启用设备控制，什么是默认强制？	`mdatp device-control policy preferences list`
设备控制管理	启用了哪些设备控制策略？	`mdatp device-control policy rules list`
设备控制管理	启用了哪些设备控制策略组？	`mdatp device-control policy groups list`
配置	打开/关闭数据丢失防护	`mdatp config data_loss_prevention --value [enabled/disabled]`
诊断	更改日志级别	`mdatp log level set --level [error/warning/info/verbose]`
诊断	生成诊断日志	`mdatp diagnostic create --path [directory]`
运行状况	检查产品运行状况	`mdatp health`
运行状况	检查特定产品属性	`mdatp health --field [attribute: healthy/licensed/engine_version...]`
EDR	EDR 列表排除项 (根)	`mdatp edr exclusion list [processes\|paths\|extensions\|all]`
EDR	设置/删除标记，仅支持 GROUP	`mdatp edr tag set --name GROUP --value [name]`
EDR	从设备中删除组标记	`mdatp edr tag remove --tag-name [name]`
EDR	添加组 ID	`mdatp edr group-ids --group-id [group]`

如何启用自动完成

若要在 bash 中启用自动完成，请运行以下命令并重启终端会话：

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

若要在 zsh 中启用自动完成，请：

检查设备上是否启用了自动完成：
```
cat ~/.zshrc | grep autoload
```
如果上述命令未生成任何输出，可以使用以下命令启用自动完成：
```
echo "autoload -Uz compinit && compinit" >> ~/.zshrc
```

运行以下命令，为 macOS 上的Microsoft Defender for Endpoint启用自动完成，并重启终端会话：

sudo mkdir -p /usr/local/share/zsh/site-functions

sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp

客户端Microsoft Defender for Endpoint隔离目录

/Library/Application Support/Microsoft/Defender/quarantine/ 包含由 mdatp隔离的文件。这些文件以 threat trackingId 命名。当前 trackingIds 随一起 mdatp threat list显示。

Microsoft Defender for Endpoint门户信息

Microsoft Defender for Endpoint博客“macOS 的 EDR 功能”现已提供有关预期内容的详细指导。

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。