macOS 上 適用於端點的 Microsoft Defender 的資源
本文內容
收集診斷資訊
記錄安裝問題
從命令行進行設定
用戶端 適用於端點的 Microsoft Defender 隔離目錄
卸載
Microsoft Defender 入口網站
顯示其他 2 個
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎?
注册免費試用版。
如果您可以重現問題,請增加記錄層級、執行系統一段時間,然後將記錄層級還原為預設值。
增加記錄層級:
mdatp log level set --level debug
Log level configured successfully
重現問題。
執行 sudo mdatp diagnostic create
以備份 適用於端點的 Microsoft Defender 記錄。 檔案會儲存在 .zip
封存內。 此命令也會在作業成功之後列印備份的檔案路徑。
提示
根據預設,診斷記錄會儲存至 /Library/Application Support/Microsoft/Defender/wdavdiag/
。 若要變更儲存診斷記錄的目錄,請傳遞 --path [directory]
至下列命令,並將 [directory]
取代為所需的目錄。
sudo mdatp diagnostic create
Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
還原記錄層級。
mdatp log level set --level info
Log level configured successfully
如果在安裝期間發生錯誤,安裝程式只會報告一般失敗。 詳細的記錄會儲存至 /Library/Logs/Microsoft/mdatp/install.log
。 如果您在安裝期間遇到問題,請在開啟支援案例時傳送此檔案給我們,以便協助診斷原因。
如需安裝問題的進一步疑難解答,請參閱針對macOS上 適用於端點的 Microsoft Defender的安裝問題進行疑難解答 。
支援資料表和 JSON 格式輸出類型。 每個命令都有預設的輸出行為。 您可以使用下列命令,以慣用的輸出格式修改輸出:
-output json
-output table
您可以使用命令列來完成重要工作,例如控制產品設定和觸發隨選掃描:
展開資料表
Group
案例
命令
組態
在被動模式中開啟/關閉防病毒軟體
mdatp config passive-mode --value [enabled/disabled]
組態
開啟/關閉實時保護
mdatp config real-time-protection --value [enabled/disabled]
組態
開啟/關閉行為監視
mdatp config behavior-monitoring --value [enabled/disabled]
組態
開啟/關閉雲端保護
mdatp config cloud --value [enabled/disabled]
組態
開啟/關閉產品診斷
mdatp config cloud-diagnostic --value [enabled/disabled]
組態
開啟/關閉自動提交範例
mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
組態
開啟/稽核/關閉 PUA 保護
mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
組態
新增/移除進程的防病毒軟體排除
mdatp exclusion process [add/remove] --path [path-to-process]
或 mdatp exclusion process [add\|remove] --name [process-name]
組態
新增/移除檔案的防病毒軟體排除專案
mdatp exclusion file [add/remove] --path [path-to-file]
組態
新增/移除目錄的防病毒軟體排除
mdatp exclusion folder [add/remove] --path [path-to-directory]
組態
新增/移除擴展名的防病毒軟體排除專案
mdatp exclusion extension [add/remove] --name [extension]
組態
列出所有防病毒軟體排除專案
mdatp exclusion list
組態
設定隨選掃描的平行處理原則程度
mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
組態
在安全性情報更新之後開啟/關閉掃描
mdatp config scan-after-definition-update --value [enabled/disabled]
組態
只開啟/關閉封存掃描 (視需要掃描)
mdatp config scan-archives --value [enabled/disabled]
組態
開啟/關閉檔案哈希計算
mdatp config enable-file-hash-computation --value [enabled/disabled]
保護
掃描路徑
mdatp scan custom --path [path] [--ignore-exclusions]
保護
執行快速掃描
mdatp scan quick
保護
執行完整掃描
mdatp scan full
保護
取消進行中的隨選掃描
mdatp scan cancel
保護
要求安全性情報更新
mdatp definitions update
組態
將威脅名稱新增至允許的清單
mdatp threat allowed add --name [threat-name]
組態
從允許的清單中移除威脅名稱
mdatp threat allowed remove --name [threat-name]
組態
列出所有允許的威脅名稱
mdatp threat allowed list
保護歷程記錄
列印完整的保護歷程記錄
mdatp threat list
保護歷程記錄
取得威脅詳細數據
mdatp threat get --id [threat-id]
隔離管理
列出所有隔離的檔案
mdatp threat quarantine list
隔離管理
從隔離區移除所有檔案
mdatp threat quarantine remove-all
隔離管理
將偵測到的檔案新增至隔離區的威脅
mdatp threat quarantine add --id [threat-id]
隔離管理
從隔離區移除偵測到為威脅的檔案
mdatp threat quarantine remove --id [threat-id]
隔離管理
從隔離區還原檔案。 適用於端點的Defender 版本101.23092.0012 之前提供。
mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
隔離管理
使用威脅標識碼從隔離區還原檔案。 適用於端點的 Defender 版本 101.23092.0012 或更新版本中提供。
mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
隔離管理
使用威脅原始路徑從隔離區還原檔案。 適用於端點的 Defender 版本 101.23092.0012 或更新版本中提供。
mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
網路保護設定
設定網路保護強制層級
mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
網路保護管理
檢查網路保護是否已成功啟動
mdatp health --field network_protection_status
裝置控制管理
裝置控制項是否已啟用,預設強制執行是什麼?
mdatp device-control policy preferences list
裝置控制管理
已啟用哪些裝置控制原則?
mdatp device-control policy rules list
裝置控制管理
已啟用哪些裝置控制原則群組?
mdatp device-control policy groups list
組態
開啟/關閉數據外泄防護
mdatp config data_loss_prevention --value [enabled/disabled]
診斷
變更記錄層級
mdatp log level set --level [error/warning/info/verbose]
診斷
產生診斷記錄
mdatp diagnostic create --path [directory]
健康情況
檢查產品的健康情況
mdatp health
健康情況
檢查特定產品屬性
mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR
根) (EDR 清單排除專案
mdatp edr exclusion list [processes|paths|extensions|all]
EDR
設定/移除標記,僅支援 GROUP
mdatp edr tag set --name GROUP --value [name]
EDR
從裝置移除群組標籤
mdatp edr tag remove --tag-name [name]
EDR
新增群組標識碼
mdatp edr group-ids --group-id [group]
若要在bash中啟用自動完成,請執行下列命令並重新啟動終端機會話:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
若要在 zsh 中啟用自動完成:
檢查裝置上是否已啟用自動完成:
cat ~/.zshrc | grep autoload
如果上述命令未產生任何輸出,您可以使用下列命令來啟用自動完成:
echo "autoload -Uz compinit && compinit" >> ~/.zshrc
執行下列命令,以在macOS上啟用 適用於端點的 Microsoft Defender的自動完成,並重新啟動終端機會話:
sudo mkdir -p /usr/local/share/zsh/site-functions
sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
用戶端 適用於端點的 Microsoft Defender 隔離目錄
/Library/Application Support/Microsoft/Defender/quarantine/
包含所隔離的 mdatp
檔案。 這些檔案會以威脅追蹤標識碼命名。 目前的 trackingId 會以 mdatp threat list
顯示。
有數種方式可以在macOS上卸載 適用於端點的 Microsoft Defender。 雖然 JAMF 上提供集中管理的卸載,但尚無法供 Microsoft Intune 使用。
在macOS上卸載所有 適用於端點的 Microsoft Defender都需要下列專案:
建立裝置標籤 ,並將已解除委任 的標籤命名為 ,並將它指派給卸載macOS Microsoft Defender的macOS。
建立 裝置群組 並將它命名 (例如已 解除委任的macOS ) ,並指派應該能夠看到它們的使用者 群組 。
注意:如果您不想在「裝置清查」中看到這些裝置已淘汰 180 天,步驟 1 和步驟 2 是選擇性的。
拿掉包含 竄改保護 或透過手動設定的「設定喜好設定」原則。
將每個 離線非 Windows 裝置的每個裝置離線 。
卸載 macOS 應用程式的 適用於端點的 Microsoft Defender
如果使用 MDM 來設定裝置,請從系統擴充 原則的群組 中移除裝置。
開 啟 Finder > 應用程式 。 以滑鼠右鍵按兩下 [適用於端點的 Microsoft Defender ],然後選取 [移至垃圾桶] 。
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
若要在macOS上使用 JAMF Pro 卸載 適用於端點的 Microsoft Defender 上傳下架配置檔。
下架配置檔應該在不進行任何修改的情況下上傳,並將 [喜好設定功能變數名稱] 設定為 com.microsoft.wdav.atp.offboarding
,如下圖所示:
注意
如果您無法在 Mac 上卸載適用於端點的 Defender,而且您在報告中看到 Microsoft Defender 端點安全性延伸 模組的專案,請遵循下列步驟:
重新安裝 Microsoft Defender 應用程式。
將 Microsoft Defender.app 拖曳至垃圾桶 。
執行此命令: sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook
。
重新開機裝置。
偵測到威脅時,您的安全性小組可以檢視偵測,並視需要在 Microsoft Defender 入口網站中的裝置上採取回應動作 (https://security.microsoft.com ) 。 Microsoft Defender 結合中央位置中的威脅保護、偵測、調查和回應。 如需詳細資訊,請參閱下列資源: