Skannausten ajoittaminen Microsoft Defender for Endpoint avulla macOS:ssä
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Microsoft Defender for Endpoint sisäänrakennetun tarkistuksen ajoittaminen macOS:ssä
Vaikka voit aloittaa uhkien tarkistuksen milloin tahansa Microsoft Defender for Endpoint avulla, yrityksesi voi hyötyä ajoitetusta tai ajoitetusta tarkistuksesta. Voit esimerkiksi ajoittaa tarkistuksen suoritettavaksi jokaisen työpäivän tai viikon alussa.
On olemassa kolmentyyppisiä ajoitettuja skannauksia, jotka voidaan määrittää: tunneittain, päivittäin ja viikoittain. Tunneittaiset ja päivittäiset ajoitetut tarkistukset suoritetaan aina pikatarkistusten avulla, ja viikoittaiset tarkistukset voidaan määrittää joko nopeiksi tai täydellisiksi tarkistuksiksi. Kaikki kolme ajoitettua tarkistusta voidaan tehdä samanaikaisesti. Katso tämän artikkelin mallit.
Edellytykset:
- Käyttöympäristöpäivityksen versio: 101.23122.0005 tai uudempi
Skannauksen ajoittaminen Microsoft Defender for Endpoint avulla macOS:ssä
Voit luoda macOS:lle ajoitetun tarkistuksen, joka on Microsoft Defender for Endpoint macOS:ssä.
Lisätietoja tässä käytetystä tiedostomuodosta on Applen kehittäjäsivuston .plist kohdassa Tietoja tietojen ominaisuusluettelotiedostoista .
Seuraavassa esimerkissä näytetään macOS:n ajoitetun tarkistuksen päivittäiset ja/tai viikoittaiset määritykset.
Vihje
Aikataulut perustuvat laitteen paikalliseen aikavyöhykkeeseen.
| Parametri | Tämän parametrin hyväksyttävät arvot ovat seuraavat: |
|---|---|
scheduledScan |
enabled tai disabled |
scanType |
quick tai full |
ignoreExclusions |
true tai false |
| lowPriorityScheduledScan |
true tai false |
dayOfWeek |
Alue on välillä 0 ja 8. - 0:Jokapäiväinen- 1:Sunnuntai- 2:Maanantai- 3:Tiistai- 4:Keskiviikko- 5:Torstai- 6:Perjantai- 7:Lauantai- 8:Koskaan |
timeOfDay |
Määrittää ajoitetun tarkistuksen suorittamiseen kuluvan kellonajan minutes after midnight-lukuna. Aika viittaa paikalliseen aikaan tietokoneessa. Jos et määritä arvoa tälle parametrille, ajoitettu tarkistus suoritetaan oletusarvoisesti kahden tunnin kuluttua keskiyöstä. |
interval |
0 (ei koskaan), every 1 (tunti) - every 24 (tuntia, yksi skannaus päivässä) |
randomizeScanStartTime |
Käytettävissä vain päivittäisissä pikatarkistusten tai viikoittaisten pika-/täysien tarkistusten kohdalla. Satunnaista tarkistuksen alkamisaika enintään määritettyyn tuntimäärään. Jos esimerkiksi skannaus on ajoitettu klo 14.00 ja randomizeScanStartTime sen arvoksi on asetettu 2, skannaus alkaa satunnaiseen aikaan klo 14.00-16.00. |
Ajoitettu tarkistus suoritetaan kohteessa määrittämänäsi plistpäivämääränä, aikana ja tiheydenä.
Esimerkki 1: Ajoita päivittäinen pikatarkistus ja viikoittainen täysi tarkistus plist-luettelon avulla
Seuraavassa esimerkissä päivittäisen pikatarkistusmäärityksen suoritusaika on 885 minuuttia keskiyön jälkeen (klo 14.45). Viikoittainen määritys suorittaa täyden tarkistuksen keskiviikkona 880 minuuttia keskiyön jälkeen (klo 14.40). Lisäksi se ohittaa poikkeukset ja suorittaa pienen prioriteetin tarkistuksen.
Seuraava koodi näyttää rakenteen, jota sinun on käytettävä ajoittaaksesi tarkistukset aiemmin mainittujen vaatimusten mukaisesti.
- Avaa tekstieditori ja käytä tätä esimerkkiä oppaana omalle ajoitetussa skannaustiedostossasi.
Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Tallenna tiedosto nimellä
com.microsoft.wdav.mobileconfig.
JamF:lle ja muille kolmannen osapuolen mobiililaitteiden hallintakoneille
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Tallenna tiedosto nimellä
com.microsoft.wdav.plist.Tarkista, että ajoitettu tarkistus on määritetty "Aseta asetus" -toiminnolla
mdatp health --details scheduled_scanTuloksissa pitäisi näkyä [managed].
Esimerkki 2: Ajoita tuntikohtainen pikatarkistus, päivittäinen pikatarkistus ja viikoittainen täysi tarkistus plist-luettelon avulla
Seuraavassa esimerkissä suoritetaan tunnin välein kuuden tunnin välein pikatarkistus, päivittäinen pikatarkistusmääritys suoritetaan 885 minuutin kuluttua keskiyöstä (klo 14.45) ja viikoittainen täysi tarkistus suoritetaan keskiviikkoisin klo 880 minuutin kuluttua keskiyöstä (klo 14.40).
Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Tallenna tiedosto nimellä
com.microsoft.wdav.mobileconfig.
JamF:lle ja muille kolmannen osapuolen mobiililaitteiden hallintakoneille
- Avaa tekstieditori ja käytä tätä esimerkkiä.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Tallenna tiedosto nimellä
com.microsoft.wdav.plist.Tarkista, että ajoitettu tarkistus on määritetty "Aseta asetus" -toiminnolla
mdatp health --details scheduled_scanTuloksissa pitäisi näkyä [managed].
Vaihtoehto 3: Ajoitettujen tarkistusten määrittäminen komentorivikäyttöliittymätyökalun avulla
Ajoitetun tarkistuksen ominaisuuden ottaminen käyttöön:
| Versio | Komento |
|---|---|
| Versio 101.23122.x tai uudempi | sudo mdatp config scheduled-scan settings feature --value enabled |
Pikatarkistusten ajoittaminen tunneittain:
| Versio | Komento |
|---|---|
| Versio 101.23122.x tai uudempi | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Päivittäisten pikatarkistusten ajoittaminen:
| Versio | Komento |
|---|---|
| Versio 101.23122.x tai uudempi | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Viikoittaisten tarkistusten ajoittaminen:
| Versio | Komento |
|---|---|
| Versio 101.23122.x tai uudempi | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Muita määritysasetuksia:
Voit tarkistaa, päivitetäänkö määritelmät ennen ajoitettuja skannauksia:
sudo mdatp config scheduled-scan settings check-for-definitions --value truePienen prioriteetin säikeiden käyttäminen ajoitetussa skannauksessa:
sudo mdatp config scheduled-scan settings low-priority --value true
Tarkista, että ajoitettu tarkistus suoritettiin
Käytä seuraavaa komentoa:
mdatp scan list
\<snip\>
Tärkeää
Ajoitettuja skannauksia ei suoriteta ajoitettuun aikaan laitteen ollessa unessa. Ajoitetut tarkistukset suoritetaan sen sijaan, kun laite jatkaa lepotilasta. Jos laite on sammutettu, tarkistus suoritetaan seuraavana ajoitettuna skannausaikana.
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.