Vianmääritystila macOS Microsoft Defender for Endpoint Microsoft Defender for Endpoint
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint macOS:ssä
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä artikkelissa kuvataan, miten voit ottaa vianmääritystilan käyttöön Microsoft Defender for Endpoint macOS:ssä, jotta järjestelmänvalvojat voivat tilapäisesti tehdä vianmäärityksen eri Microsoft Defender virustentorjuntatoiminnoille, vaikka organisaatiokäytännöt hallitsvat laitteita.
Jos esimerkiksi peukalointisuojaus on käytössä, tiettyjä asetuksia ei voi muokata tai poistaa käytöstä, mutta voit muokata näitä asetuksia tilapäisesti laitteen vianmääritystilan avulla.
Vianmääritystila on oletusarvoisesti poissa käytöstä ja edellyttää, että otat sen käyttöön laitteessa (ja/tai laiteryhmässä) rajoitetun ajan. Vianmääritystila on vain yritys -ominaisuus, ja se edellyttää Microsoft Defender portaalin käyttöä.
Mitä sinun on tiedettävä ennen aloittamista?
Vianmääritystilan aikana voit tehdä seuraavaa:
Käytä Microsoft Defender for Endpoint macOS:n toiminnallisissa vianmäärityksessä /sovelluksen yhteensopivuudessa (false-positiiviset tiedot).
Paikalliset järjestelmänvalvojat, joilla on tarvittavat käyttöoikeudet, voivat muuttaa seuraavia käytäntöön lukittuja määrityksiä yksittäisissä päätepisteissä:
Asetus Ottaa käyttöön Poista käytöstä tai poista Real-Time suojaus/ passiivitila / pyydettäessä mdatp config real-time-protection --value enabled
mdatp config real-time-protection --value disabled
Verkon suojaus mdatp config network-protection enforcement-level --value block
mdatp config network-protection enforcement-level --value disabled
realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled
mdatp config real-time-protection-statistics --value disabled
Tunnisteet mdatp edr tag set --name GROUP --value [name]
mdatp edr tag remove --tag-name [name]
groupIds mdatp edr group-ids --group-id [group]
Päätepisteen DLP mdatp config data_loss_prevention --value enabled
mdatp config data_loss_prevention --value disabled
Vianmääritystilan aikana et voi:
- Poista Microsoft Defender for Endpoint peukalointisuojaus käytöstä macOS:ssä.
- Poista Microsoft Defender for Endpoint macOS:ssä.
Ennakkovaatimukset
- MacOS:n tuettu versio Microsoft Defender for Endpoint.
- Microsoft Defender for Endpoint on oltava vuokraajan rekisteröimä ja aktiivinen laitteessa.
- Suojausasetusten hallinta tietoturvakeskuksessa -käyttöoikeudet Microsoft Defender for Endpoint.
- Käyttöympäristöpäivityksen versio: 101.23122.0005 tai uudempi.
Ota vianmääritystila käyttöön macOS:ssä
Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Siirry laitteen sivulle, jonka haluat ottaa käyttöön vianmääritystilassa. Valitse sitten kolme pistettä (...) ja valitse sitten Ota vianmääritystila käyttöön.
Huomautus
Ota vianmääritystila käyttöön -vaihtoehto on käytettävissä kaikissa laitteissa, vaikka laite ei täyttäsi vianmääritystilan edellytyksiä.
Lue ruudussa näkyvät tiedot ja kun olet valmis, valitse Lähetä vahvistaaksesi, että haluat ottaa vianmääritystilan käyttöön kyseisessä laitteessa.
Huomaat, että muutoksen tuleminen voimaan saattaa kestää muutaman minuutin, ennen kuin teksti tulee näkyviin. Tänä aikana, kun valitset kolme pistettä uudelleen, näet Ota vianmääritystila käyttöön odottaa - vaihtoehdon harmaana.
Kun toiminto on valmis, laitteen sivulla näkyy, että laite on nyt vianmääritystilassa.
Jos käyttäjä on kirjautunut sisään macOS-laitteeseen, hän näkee seuraavan tekstin:
Vianmääritystila on alkanut. Tämän tilan avulla voit tilapäisesti muuttaa järjestelmänvalvojan hallitsemia asetuksia. Vanhentuu osoitteessa YEAR-MM-DDTHH:MM:SSZ.
Valitse OK.
Kun asetus on käytössä, voit testata eri komentoriviasetuksia, joita voi käyttää vianmääritystilassa (TS-tila).
Kun esimerkiksi käytät
mdatp config real-time-protection --value disabled
komentoa reaaliaikaisten suojausten poistamiseen käytöstä, sinua pyydetään antamaan salasanasi. Valitse OK salasanan kirjoittamisen jälkeen.Seuraavan näyttökuvan kaltainen tulosteraportti näytetään suoritettaessa mdatp-kuntoa
real_time_protection_enabled
muodossa "epätosi" jatamper_protection
"lohko".
Kehittyneet metsästyskyselyt tunnistusta varten
Jotkin valmiit kehittyneet metsästyskyselyt antavat sinulle näkyvyyden ympäristössäsi esiintyviin vianmääritystapahtumiin. Näiden kyselyiden avulla voit luoda tunnistussääntöjä ja luoda ilmoituksia, kun laitteet ovat vianmääritystilassa.
Tietyn laitteen vianmääritystapahtumien hakeminen
Voit käyttää seuraavaa kyselyä hakuun vastaavilla deviceId
riveillä tai deviceName
kommentoimalla niitä.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Laitteet, jotka ovat tällä hetkellä vianmääritystilassa
Voit etsiä laitteita, jotka ovat tällä hetkellä vianmääritystilassa, seuraavasta kyselystä:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Vianmääritystilan esiintymien määrä laitteen mukaan
Voit selvittää laitteen vianmääritystilan esiintymien määrän käyttämällä seuraavaa kyselyä:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Kokonaismäärä
Voit tietää vianmääritystilan esiintymien kokonaismäärän käyttämällä seuraavaa kyselyä:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Suositeltu sisältö
- Microsoft Defender XDR Macin päätepisteelle
- Microsoft Defender XDR for Endpoint -integrointi Microsoft Defender XDR for Cloud Appsin kanssa
- Tutustu Microsoft Edgen innovatiivisiin ominaisuuksiin
- Verkon suojaaminen
- Ota verkon suojaus käyttöön
- Verkkosuojaus
- Ilmaisimien luominen
- Verkkosisällön suodatus
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.