在macOS上使用 適用於端點的 Microsoft Defender 排程掃描
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
雖然您可以使用 適用於端點的 Microsoft Defender 隨時啟動威脅掃描,但您的企業可能會受益於排程或定時掃描。 例如,您可以將掃描排程在每個工作日或星期的開頭執行。
可設定的排程掃描有三種類型:每小時、每日和每周掃描。 每小時和每日排程的掃描一律會以快速掃描的方式執行,每周掃描可以設定為快速或完整掃描。 您可以同時進行這三種類型的排程掃描。 請參閱本文中的範例。
必要條件:
- 平臺更新版本: 101.23122.0005 或更新版本
您可以為macOS建立排程掃描,其內建於macOS上 適用於端點的 Microsoft Defender。
如需此處所使用檔格式的 .plist
詳細資訊,請參閱Apple開發人員官方網站的 關於資訊屬性清單檔案 。
下列範例顯示 macOS 上排程掃描的每日和/或每周設定。
提示
排程是以裝置的當地時區為基礎。
參數 | 此參數可接受的值為: |
---|---|
scheduledScan |
enabled 或 disabled |
scanType |
quick 或 full |
ignoreExclusions |
true 或 false |
lowPriorityScheduledScan |
true 或 false |
dayOfWeek |
範圍介於和8 之間0 。 - 0 :每天- 1 :星期日- 2 :星期一- 3 :星期二- 4 :星期三- 5 :星期四- 6 :星期五- 7 :星期六- 8 :從不 |
timeOfDay |
指定一天中執行排程掃描的時間,做為 的 minutes after midnight 數目。 時間是指電腦上的當地時間。 如果您未指定此參數的值,排程掃描會在午夜后兩小時的默認時間執行。 |
interval |
0 (永遠不會) , every 1 (小時) 到 every 24 (小時,每天掃描一次) |
randomizeScanStartTime |
僅適用於每日快速掃描或每周快速/完整掃描。 將掃描的開始時間隨機化最多指定的時數。 例如,如果掃描排程為下午 2 點,且 randomizeScanStartTime 設定為 2,則掃描會在下午 2 點到下午 4 點之間隨機開始。 |
排定的掃描會在您於 中定義的日期、時間和頻率執行 plist
。
在下列範例中,每日快速掃描組態設定為在午夜 (下午 2:45 ) 885 分鐘執行。 每周設定設定為在星期三午夜 (下午 2:40 ) 880 分鐘執行完整掃描。 而且它會設定為忽略排除專案,並執行低優先順序掃描。
下列程式代碼顯示您需要使用的架構,以根據稍早所述的需求來排程掃描。
- 開啟文字編輯器,並使用此範例作為您自己排程掃描檔案的指南。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- 將檔案儲存為
com.microsoft.wdav.mobileconfig
。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
將檔案儲存為
com.microsoft.wdav.plist
。檢查已透過「設定喜好設定」設定排程掃描
mdatp health --details scheduled_scan
在結果中,您應該可以看到 [managed]。
在下列範例中,每小時的快速掃描會每隔 6 小時執行一次,每日快速掃描組態會設定為在午夜 (下午 2:45 ) 885 分鐘執行,而每周完整掃描會在午夜 (下午 2:40) 之後的 880 分鐘執行。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- 將檔案儲存為
com.microsoft.wdav.mobileconfig
。
- 開啟文字編輯器並使用此範例。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
將檔案儲存為
com.microsoft.wdav.plist
。檢查已透過「設定喜好設定」設定排程掃描
mdatp health --details scheduled_scan
在結果中,您應該可以看到 [managed]。
若要啟用排程掃描功能:
版本 | 命令 |
---|---|
版本 101.23122.x 或更新版本 | sudo mdatp config scheduled-scan settings feature --value enabled |
若要排程每小時的快速掃描:
版本 | 命令 |
---|---|
版本 101.23122.x 或更新版本 | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
若要排程每日快速掃描:
版本 | 命令 |
---|---|
版本 101.23122.x 或更新版本 | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
若要排程每周掃描:
版本 | 命令 |
---|---|
版本 101.23122.x 或更新版本 | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
如需其他設定選項:
若要在排程掃描之前檢查定義更新:
sudo mdatp config scheduled-scan settings check-for-definitions --value true
若要使用低優先順序線程進行排程掃描:
sudo mdatp config scheduled-scan settings low-priority --value true
使用下列命令:
mdatp scan list
\<snip\>
重要
當裝置處於睡眠狀態時,排程掃描不會在排程的時間執行。 相反地,當裝置從睡眠模式繼續時,會執行排程掃描。 如果裝置已關閉,掃描會在下一個排定的掃描時間執行。
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。