Jaa


Vianmääritystila macOS Microsoft Defender for Endpoint Microsoft Defender for Endpoint

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan, miten voit ottaa vianmääritystilan käyttöön Microsoft Defender for Endpoint macOS:ssä, jotta järjestelmänvalvojat voivat tilapäisesti tehdä vianmäärityksen eri Microsoft Defender virustentorjuntatoiminnoille, vaikka organisaatiokäytännöt hallitsvat laitteita.

Jos esimerkiksi peukalointisuojaus on käytössä, tiettyjä asetuksia ei voi muokata tai poistaa käytöstä, mutta voit muokata näitä asetuksia tilapäisesti laitteen vianmääritystilan avulla.

Vianmääritystila on oletusarvoisesti poissa käytöstä ja edellyttää, että otat sen käyttöön laitteessa (ja/tai laiteryhmässä) rajoitetun ajan. Vianmääritystila on vain yritys -ominaisuus, ja se edellyttää Microsoft Defender portaalin käyttöä.

Mitä sinun on tiedettävä ennen aloittamista?

Vianmääritystilan aikana voit tehdä seuraavaa:

  • Käytä Microsoft Defender for Endpoint macOS:n toiminnallisissa vianmäärityksessä /sovelluksen yhteensopivuudessa (false-positiiviset tiedot).

  • Paikalliset järjestelmänvalvojat, joilla on tarvittavat käyttöoikeudet, voivat muuttaa seuraavia käytäntöön lukittuja määrityksiä yksittäisissä päätepisteissä:

    Asetus Ottaa käyttöön Poista käytöstä tai poista
    Real-Time suojaus/ passiivitila / pyydettäessä mdatp config real-time-protection --value enabled mdatp config real-time-protection --value disabled
    Verkon suojaus mdatp config network-protection enforcement-level --value block mdatp config network-protection enforcement-level --value disabled
    realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled mdatp config real-time-protection-statistics --value disabled
    Tunnisteet mdatp edr tag set --name GROUP --value [name] mdatp edr tag remove --tag-name [name]
    groupIds mdatp edr group-ids --group-id [group]
    Päätepisteen DLP mdatp config data_loss_prevention --value enabled mdatp config data_loss_prevention --value disabled

Vianmääritystilan aikana et voi:

  • Poista Microsoft Defender for Endpoint peukalointisuojaus käytöstä macOS:ssä.
  • Poista Microsoft Defender for Endpoint macOS:ssä.

Ennakkovaatimukset

  • MacOS:n tuettu versio Microsoft Defender for Endpoint.
  • Microsoft Defender for Endpoint on oltava vuokraajan rekisteröimä ja aktiivinen laitteessa.
  • Suojausasetusten hallinta tietoturvakeskuksessa -käyttöoikeudet Microsoft Defender for Endpoint.
  • Käyttöympäristöpäivityksen versio: 101.23122.0005 tai uudempi.

Ota vianmääritystila käyttöön macOS:ssä

  1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

  2. Siirry laitteen sivulle, jonka haluat ottaa käyttöön vianmääritystilassa. Valitse sitten kolme pistettä (...) ja valitse sitten Ota vianmääritystila käyttöön.

    Näyttökuva, jossa näkyy näyttökuva macin vianmääritystilasta.

    Huomautus

    Ota vianmääritystila käyttöön -vaihtoehto on käytettävissä kaikissa laitteissa, vaikka laite ei täyttäsi vianmääritystilan edellytyksiä.

  3. Lue ruudussa näkyvät tiedot ja kun olet valmis, valitse Lähetä vahvistaaksesi, että haluat ottaa vianmääritystilan käyttöön kyseisessä laitteessa.

  4. Huomaat, että muutoksen tuleminen voimaan saattaa kestää muutaman minuutin, ennen kuin teksti tulee näkyviin. Tänä aikana, kun valitset kolme pistettä uudelleen, näet Ota vianmääritystila käyttöön odottaa - vaihtoehdon harmaana.

  5. Kun toiminto on valmis, laitteen sivulla näkyy, että laite on nyt vianmääritystilassa.

    Jos käyttäjä on kirjautunut sisään macOS-laitteeseen, hän näkee seuraavan tekstin:

    Vianmääritystila on alkanut. Tämän tilan avulla voit tilapäisesti muuttaa järjestelmänvalvojan hallitsemia asetuksia. Vanhentuu osoitteessa YEAR-MM-DDTHH:MM:SSZ.

    Valitse OK.

  6. Kun asetus on käytössä, voit testata eri komentoriviasetuksia, joita voi käyttää vianmääritystilassa (TS-tila).

    Kun esimerkiksi käytät mdatp config real-time-protection --value disabled komentoa reaaliaikaisten suojausten poistamiseen käytöstä, sinua pyydetään antamaan salasanasi. Valitse OK salasanan kirjoittamisen jälkeen.

    Näyttökuva, jossa näkyy näyttökuva reaaliaikaisen suojauksen käytöstä poistamisesta.

    Seuraavan näyttökuvan kaltainen tulosteraportti näytetään suoritettaessa mdatp-kuntoa real_time_protection_enabled muodossa "epätosi" ja tamper_protection "lohko".

    Näyttökuva mdatp-kunnon suorittamisen tulosteraportista.

Kehittyneet metsästyskyselyt tunnistusta varten

Jotkin valmiit kehittyneet metsästyskyselyt antavat sinulle näkyvyyden ympäristössäsi esiintyviin vianmääritystapahtumiin. Näiden kyselyiden avulla voit luoda tunnistussääntöjä ja luoda ilmoituksia, kun laitteet ovat vianmääritystilassa.

Tietyn laitteen vianmääritystapahtumien hakeminen

Voit käyttää seuraavaa kyselyä hakuun vastaavilla deviceId riveillä tai deviceName kommentoimalla niitä.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Laitteet, jotka ovat tällä hetkellä vianmääritystilassa

Voit etsiä laitteita, jotka ovat tällä hetkellä vianmääritystilassa, seuraavasta kyselystä:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Vianmääritystilan esiintymien määrä laitteen mukaan

Voit selvittää laitteen vianmääritystilan esiintymien määrän käyttämällä seuraavaa kyselyä:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Kokonaismäärä

Voit tietää vianmääritystilan esiintymien kokonaismäärän käyttämällä seuraavaa kyselyä:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.