macOS 上 適用於端點的 Microsoft Defender 的資源

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

收集診斷資訊

如果您可以重現問題,請增加記錄層級、執行系統一段時間,並將記錄層級還原為預設值。

  1. 增加記錄層級:

    mdatp log level set --level debug

    Log level configured successfully

  2. 重現問題

  3. 執行 sudo mdatp diagnostic create 以備份 適用於端點的 Microsoft Defender 記錄。 這些檔案會儲存在 .zip 封存中。 此命令也會在作業成功之後列印備份的檔案路徑。

    提示

    根據預設,診斷記錄會儲存至 /Library/Application Support/Microsoft/Defender/wdavdiag/。 若要變更儲存診斷記錄的目錄,請傳遞 --path [directory] 至下列命令,並將 [directory] 取代為所需的目錄。

    sudo mdatp diagnostic create

    Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"

  4. 還原記錄層級:

    mdatp log level set --level info

    Log level configured successfully

記錄安裝問題

如果安裝期間發生錯誤,安裝程式只會回報一般失敗。

詳細的記錄檔將會儲存至 /Library/Logs/Microsoft/mdatp/install.log。 如果您在安裝期間遇到問題,請傳送此檔案給我們,以便協助診斷原因。 如需安裝問題的進一步疑難解答,請檢閱針對macOS上的 適用於端點的 Microsoft Defender 安裝問題進行疑難解答

卸載

注意事項

在macOS上卸載 適用於端點的 Microsoft Defender 之前,請先將每部離線非 Windows 裝置離線

有數種方式可以在macOS上卸載 適用於端點的 Microsoft Defender。 請注意,雖然 JAMF 上有集中管理的卸載,但尚未提供 Microsoft Intune。

互動式卸載

  • 啟 Finder > 應用程式。 以滑鼠右鍵按兩下 [移至垃圾桶 適用於端點的 Microsoft Defender>

支援的輸出類型

支援資料表和 JSON 格式輸出類型。 每個命令都有預設的輸出行為。 您可以使用下列命令,以慣用的輸出格式修改輸出:

-output json

-output table

從命令行

  • sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

使用 JAMF Pro

若要在macOS上使用JAMF Pro卸載 適用於端點的 Microsoft Defender上傳下架配置檔

下架配置文件應該在不進行任何修改的情況下上傳,並將 [喜好設定功能變數名稱] 設定為 com.microsoft.wdav.atp.offboarding

JAMF 下架畫面的螢幕快照

從命令行進行設定

您可以從命令行完成重要工作,例如控制產品設定和觸發隨選掃描:

Group 案例 命令
組態 開啟/關閉防病毒軟體被動模式 mdatp config passive-mode --value [enabled/disabled]
組態 開啟/關閉實時保護 mdatp config real-time-protection --value [enabled/disabled]
組態 開啟/關閉雲端保護 mdatp config cloud --value [enabled/disabled]
組態 開啟/關閉產品診斷 mdatp config cloud-diagnostic --value [enabled/disabled]
組態 開啟/關閉自動提交範例 mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
組態 開啟/稽核/關閉 PUA 保護 mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
組態 新增/移除進程的防病毒軟體排除 mdatp exclusion process [add/remove] --path [path-to-process]mdatp exclusion process [add\|remove] --name [process-name]
組態 新增/移除檔案的防病毒軟體排除專案 mdatp exclusion file [add/remove] --path [path-to-file]
組態 新增/移除目錄的防病毒軟體排除 mdatp exclusion folder [add/remove] --path [path-to-directory]
組態 新增/移除擴展名的防病毒軟體排除專案 mdatp exclusion extension [add/remove] --name [extension]
組態 列出所有防病毒軟體排除專案 mdatp exclusion list
組態 設定隨選掃描的平行處理原則程度 mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
組態 在安全性情報更新之後開啟/關閉掃描 mdatp config scan-after-definition-update --value [enabled/disabled]
組態 只開啟/關閉封存掃描 (視需要掃描) mdatp config scan-archives --value [enabled/disabled]
組態 開啟/關閉檔案哈希計算 mdatp config enable-file-hash-computation --value [enabled/disabled]
保護 掃描路徑 mdatp scan custom --path [path] [--ignore-exclusions]
保護 執行快速掃描 mdatp scan quick
保護 執行完整掃描 mdatp scan full
保護 取消進行中的隨選掃描 mdatp scan cancel
保護 要求安全性情報更新 mdatp definitions update
組態 將威脅名稱新增至允許的清單 mdatp threat allowed add --name [threat-name]
組態 從允許的清單中移除威脅名稱 mdatp threat allowed remove --name [threat-name]
組態 列出所有允許的威脅名稱 mdatp threat allowed list
保護歷程記錄 列印完整的保護歷程記錄 mdatp threat list
保護歷程記錄 取得威脅詳細數據 mdatp threat get --id [threat-id]
隔離管理 列出所有隔離的檔案 mdatp threat quarantine list
隔離管理 從隔離區移除所有檔案 mdatp threat quarantine remove-all
隔離管理 將偵測到的檔案新增至隔離區的威脅 mdatp threat quarantine add --id [threat-id]
隔離管理 從隔離區移除偵測到為威脅的檔案 mdatp threat quarantine remove --id [threat-id]
隔離管理 從隔離區還原檔案。 適用於端點的 Defender 版本低於 101.23092.0012。 mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
隔離管理 使用威脅標識碼從隔離區還原檔案。 適用於端點的 Defender 版本 101.23092.0012 或更新版本中提供。 mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
隔離管理 使用威脅原始路徑從隔離區還原檔案。 適用於端點的 Defender 版本 101.23092.0012 或更新版本中提供。 mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
網路保護設定 設定網路保護強制層級 mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
網路保護管理 檢查網路保護是否已成功啟動 mdatp health --field network_protection_status
裝置控制管理 裝置控制項是否已啟用,預設強制執行是什麼? mdatp device-control policy preferences list
裝置控制管理 已啟用哪些裝置控制原則? mdatp device-control policy rules list
裝置控制管理 已啟用哪些裝置控制原則群組? mdatp device-control policy groups list
組態 開啟/關閉數據外泄防護 mdatp config data_loss_prevention --value [enabled/disabled]
診斷 變更記錄層級 mdatp log level set --level [error/warning/info/verbose]
診斷 產生診斷記錄 mdatp diagnostic create --path [directory]
健康情況 檢查產品的健康情況 mdatp health
健康情況 檢查特定產品屬性 mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR 根) (EDR 清單排除專案 mdatp edr exclusion list [processes|paths|extensions|all]
EDR 設定/移除標記,僅支援 GROUP mdatp edr tag set --name GROUP --value [name]
EDR 從裝置移除群組標籤 mdatp edr tag remove --tag-name [name]
EDR 新增群組標識碼 mdatp edr group-ids --group-id [group]

如何啟用自動完成

若要在bash中啟用自動完成,請執行下列命令並重新啟動終端機會話:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

若要在 zsh 中啟用自動完成:

  • 檢查裝置上是否已啟用自動完成:

    cat ~/.zshrc | grep autoload

  • 如果上述命令未產生任何輸出,您可以使用下列命令啟用自動完成:

    echo "autoload -Uz compinit && compinit" >> ~/.zshrc

  • 執行下列命令,以在macOS上啟用 適用於端點的 Microsoft Defender的自動完成,並重新啟動終端機會話:

    sudo mkdir -p /usr/local/share/zsh/site-functions

sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp

用戶端 適用於端點的 Microsoft Defender 隔離目錄

/Library/Application Support/Microsoft/Defender/quarantine/ 包含所隔離的 mdatp檔案。 這些檔案會以威脅追蹤標識碼命名。 目前的 trackingId 會以 mdatp threat list顯示。

適用於端點的 Microsoft Defender 入口網站資訊

適用於端點的 Microsoft Defender 部落格中,適用於macOS的EDR功能現在已送達,提供預期的詳細指引。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。