Agendar análises com Microsoft Defender para Endpoint no macOS
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Agendar uma análise incorporada no Microsoft Defender para Endpoint no macOS
Embora possa iniciar uma análise de ameaças em qualquer altura com Microsoft Defender para Endpoint, a sua empresa poderá beneficiar de análises agendadas ou cronometradas. Por exemplo, pode agendar uma análise para ser executada no início de cada dia de trabalho ou semana.
Existem três tipos de análises agendadas configuráveis: análises por hora, diárias e semanais. As análises agendadas por hora e diárias são sempre executadas como análises rápidas, as análises semanais podem ser configuradas para serem análises rápidas ou completas. É possível ter os três tipos de análises agendadas ao mesmo tempo. Veja os exemplos neste artigo.
Pré-requisitos:
- Versão da Atualização da Plataforma: 101.23122.0005 ou mais recente
Agendar uma análise com Microsoft Defender para Endpoint no macOS
Pode criar uma análise agendada para o seu macOS, que está incorporado no Microsoft Defender para Endpoint no macOS.
Para obter mais informações sobre o .plist
formato de ficheiro utilizado aqui, consulte About Information Property List Files (Acerca dos Ficheiros da Lista de Propriedades de Informações ) no site oficial do programador da Apple.
O exemplo seguinte mostra a configuração diária e/ou semanal da análise agendada no macOS.
Sugestão
As agendas baseiam-se no fuso horário local do dispositivo.
Parâmetro | Os valores aceitáveis para este parâmetro são: |
---|---|
scheduledScan |
enabled ou disabled |
scanType |
quick ou full |
ignoreExclusions |
true ou false |
lowPriorityScheduledScan |
true ou false |
dayOfWeek |
O intervalo é entre 0 e 8 . - 0 : Todos os dias- 1 :Domingo- 2 :Segunda-feira- 3 :Terça-feira- 4 :Quarta-feira- 5 :Quinta-feira- 6 :Sexta-feira- 7 :Sábado- 8 : Nunca |
timeOfDay |
Especifica a hora do dia, como o número de minutes after midnight , para efetuar uma análise agendada. A hora refere-se à hora local no computador. Se não especificar um valor para este parâmetro, uma análise agendada é executada numa hora predefinida de duas horas após a meia-noite. |
interval |
0 (nunca), every 1 (hora) a every 24 (horas, uma análise por dia) |
randomizeScanStartTime |
Apenas aplicável para análises rápidas diárias ou análises semanais rápidas/completas. Aleatoriamente, a hora de início da análise até ao número especificado de horas. Por exemplo, se uma análise estiver agendada para as 14:00 e randomizeScanStartTime estiver definida como 2, a análise será iniciada aleatoriamente entre as 14:00 e as 16:00. |
A análise agendada é executada na data, hora e frequência que definiu no seu plist
.
Exemplo 1: Agendar uma análise rápida diária e uma análise completa semanal com um plist
No exemplo seguinte, a configuração de análise rápida diária está definida para ser executada às 885 minutos após a meia-noite (14h45). A configuração semanal está definida para executar uma análise completa na quarta-feira, às 880 minutos após a meia-noite (14h40). E está definido para ignorar exclusões e executar uma análise de baixa prioridade.
O código seguinte mostra o esquema que precisa de utilizar para agendar análises de acordo com os requisitos mencionados anteriormente.
- Abra um editor de texto e utilize este exemplo como guia para o seu próprio ficheiro de análise agendada.
Para Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Guarde o ficheiro como
com.microsoft.wdav.mobileconfig
.
Para JamF e outros MDMs de terceiros
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Guarde o ficheiro como
com.microsoft.wdav.plist
.Verifique se a análise agendada está configurada através de uma "Preferência de Conjunto"
mdatp health --details scheduled_scan
Nos resultados, deverá conseguir ver [gerido].
Exemplo 2: Agendar uma análise rápida de hora a hora, uma análise rápida diária e uma análise completa semanal com um plist
No exemplo seguinte, será executada uma análise rápida por hora a cada 6 horas, uma configuração de análise rápida diária está definida para ser executada aos 885 minutos após a meia-noite (14h45) e será executada uma análise completa semanal às quartas-feiras às 880 minutos após a meia-noite (14h40).
Para Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Guarde o ficheiro como
com.microsoft.wdav.mobileconfig
.
Para JamF e outros MDMs de terceiros
- Abra um editor de texto e utilize este exemplo.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Guarde o ficheiro como
com.microsoft.wdav.plist
.Verifique se a análise agendada está configurada através de uma "Preferência de Conjunto"
mdatp health --details scheduled_scan
Nos resultados, deverá conseguir ver [gerido].
Opção 3: Configurar análises agendadas através da ferramenta da CLI
Para ativar a funcionalidade de análise agendada:
Versão | Comando |
---|---|
Versão 101.23122.x ou posterior | sudo mdatp config scheduled-scan settings feature --value enabled |
Para agendar análises rápidas por hora:
Versão | Comando |
---|---|
Versão 101.23122.x ou posterior | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Para agendar análises rápidas diárias:
Versão | Comando |
---|---|
Versão 101.23122.x ou posterior | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Para agendar análises semanais:
Versão | Comando |
---|---|
Versão 101.23122.x ou posterior | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Para outras opções de configuração:
Para verificar a atualização de definições antes das análises agendadas:
sudo mdatp config scheduled-scan settings check-for-definitions --value true
Para utilizar threads de baixa prioridade para análise agendada:
sudo mdatp config scheduled-scan settings low-priority --value true
Verifique se a análise agendada foi executada
Utilize o seguinte comando:
mdatp scan list
\<snip\>
Importante
As análises agendadas não são executadas na hora agendada enquanto o dispositivo está em modo de espera. Em vez disso, as análises agendadas são executadas quando o dispositivo sai do modo de suspensão. Se o dispositivo estiver desativado, a análise será executada na próxima hora de análise agendada.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.