Partilhar via


Agendar análises com Microsoft Defender para Endpoint no macOS

Aplica-se a:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Agendar uma análise incorporada no Microsoft Defender para Endpoint no macOS

Embora possa iniciar uma análise de ameaças em qualquer altura com Microsoft Defender para Endpoint, a sua empresa poderá beneficiar de análises agendadas ou cronometradas. Por exemplo, pode agendar uma análise para ser executada no início de cada dia de trabalho ou semana.

Existem três tipos de análises agendadas configuráveis: análises por hora, diárias e semanais. As análises agendadas por hora e diárias são sempre executadas como análises rápidas, as análises semanais podem ser configuradas para serem análises rápidas ou completas. É possível ter os três tipos de análises agendadas ao mesmo tempo. Veja os exemplos neste artigo.

Pré-requisitos:

  • Versão da Atualização da Plataforma: 101.23122.0005 ou mais recente

Agendar uma análise com Microsoft Defender para Endpoint no macOS

Pode criar uma análise agendada para o seu macOS, que está incorporado no Microsoft Defender para Endpoint no macOS.

Para obter mais informações sobre o .plist formato de ficheiro utilizado aqui, consulte About Information Property List Files (Acerca dos Ficheiros da Lista de Propriedades de Informações ) no site oficial do programador da Apple.

O exemplo seguinte mostra a configuração diária e/ou semanal da análise agendada no macOS.

Sugestão

As agendas baseiam-se no fuso horário local do dispositivo.

Parâmetro Os valores aceitáveis para este parâmetro são:
scheduledScan enabled ou disabled
scanType quick ou full
ignoreExclusions true ou false
lowPriorityScheduledScan true ou false
dayOfWeek O intervalo é entre 0 e 8.
- 0: Todos os dias
- 1:Domingo
- 2:Segunda-feira
- 3:Terça-feira
- 4:Quarta-feira
- 5:Quinta-feira
- 6:Sexta-feira
- 7:Sábado
- 8: Nunca
timeOfDay Especifica a hora do dia, como o número de minutes after midnight, para efetuar uma análise agendada. A hora refere-se à hora local no computador. Se não especificar um valor para este parâmetro, uma análise agendada é executada numa hora predefinida de duas horas após a meia-noite.
interval 0 (nunca), every 1 (hora) a every 24 (horas, uma análise por dia)
randomizeScanStartTime Apenas aplicável para análises rápidas diárias ou análises semanais rápidas/completas. Aleatoriamente, a hora de início da análise até ao número especificado de horas.
Por exemplo, se uma análise estiver agendada para as 14:00 e randomizeScanStartTime estiver definida como 2, a análise será iniciada aleatoriamente entre as 14:00 e as 16:00.

A análise agendada é executada na data, hora e frequência que definiu no seu plist.

Exemplo 1: Agendar uma análise rápida diária e uma análise completa semanal com um plist

No exemplo seguinte, a configuração de análise rápida diária está definida para ser executada às 885 minutos após a meia-noite (14h45). A configuração semanal está definida para executar uma análise completa na quarta-feira, às 880 minutos após a meia-noite (14h40). E está definido para ignorar exclusões e executar uma análise de baixa prioridade.

O código seguinte mostra o esquema que precisa de utilizar para agendar análises de acordo com os requisitos mencionados anteriormente.

  1. Abra um editor de texto e utilize este exemplo como guia para o seu próprio ficheiro de análise agendada.

Para Intune

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>PayloadUUID</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadOrganization</key>
    <string>Microsoft</string>
    <key>PayloadIdentifier</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadDisplayName</key>
    <string>Microsoft Defender for Endpoint settings</string>
    <key>PayloadDescription</key>
    <string>Microsoft Defender for Endpoint configuration settings</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>PayloadUUID</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadType</key>
            <string>com.microsoft.wdav</string>
            <key>PayloadOrganization</key>
            <string>Microsoft</string>
            <key>PayloadIdentifier</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadDisplayName</key>
            <string>Microsoft Defender for Endpoint configuration settings</string>
            <key>PayloadDescription</key>
            <string/>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadEnabled</key>
            <true/>
            <key>features</key> 
            <dict>
                <key>scheduledScan</key> 
                <string>enabled</string> 
            </dict> 
            <key>scheduledScan</key> 
            <dict> 
                <key>ignoreExclusions</key> 
                <true/> 
                <key>lowPriorityScheduledScan</key> 
                <true/> 
                <key>dailyConfiguration</key> 
                <dict> 
                    <key>timeOfDay</key> 
                    <integer>880</integer> 
                </dict> 
                <key>weeklyConfiguration</key> 
                <dict> 
                    <key>dayOfWeek</key> 
                    <integer>4</integer> 
                    <key>timeOfDay</key> 
                    <integer>885</integer> 
                    <key>scanType</key> 
                    <string>full</string>
                </dict>
            </dict> 
        </dict>
    </array>
</dict> 
</plist>
  1. Guarde o ficheiro como com.microsoft.wdav.mobileconfig.

Para JamF e outros MDMs de terceiros

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
    <key>scheduledScan</key> 
    <dict> 
        <key>ignoreExclusions</key> 
        <true/> 
        <key>lowPriorityScheduledScan</key> 
        <true/> 
        <key>dailyConfiguration</key> 
        <dict> 
            <key>timeOfDay</key> 
            <integer>885</integer> 
        </dict> 
        <key>weeklyConfiguration</key> 
        <dict> 
            <key>dayOfWeek</key> 
            <integer>4</integer> 
            <key>timeOfDay</key> 
            <integer>880</integer> 
            <key>scanType</key> 
            <string>full</string> 
        </dict> 
    </dict> 
</dict> 
</plist> 
  1. Guarde o ficheiro como com.microsoft.wdav.plist.

  2. Verifique se a análise agendada está configurada através de uma "Preferência de Conjunto"

    mdatp health --details scheduled_scan
    

    Nos resultados, deverá conseguir ver [gerido].

Exemplo 2: Agendar uma análise rápida de hora a hora, uma análise rápida diária e uma análise completa semanal com um plist

No exemplo seguinte, será executada uma análise rápida por hora a cada 6 horas, uma configuração de análise rápida diária está definida para ser executada aos 885 minutos após a meia-noite (14h45) e será executada uma análise completa semanal às quartas-feiras às 880 minutos após a meia-noite (14h40).

Para Intune:

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
     <key>PayloadUUID</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadType</key>
     <string>Configuration</string>
     <key>PayloadOrganization</key>
     <string>Microsoft</string>
     <key>PayloadIdentifier</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadDisplayName</key>
     <string>Microsoft Defender for Endpoint settings</string>
     <key>PayloadDescription</key>
     <string>Microsoft Defender for Endpoint configuration settings</string>
     <key>PayloadVersion</key>
     <integer>1</integer>
     <key>PayloadEnabled</key>
     <true/>
     <key>PayloadRemovalDisallowed</key>
     <true/>
     <key>PayloadScope</key>
     <string>System</string>
     <key>PayloadContent</key>
     <array>
       <dict>
           <key>PayloadUUID</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadType</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadDescription</key>
           <string/>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</array>
</dict>
</plist> 
  1. Guarde o ficheiro como com.microsoft.wdav.mobileconfig.

Para JamF e outros MDMs de terceiros

  1. Abra um editor de texto e utilize este exemplo.
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</plist> 
  1. Guarde o ficheiro como com.microsoft.wdav.plist.

  2. Verifique se a análise agendada está configurada através de uma "Preferência de Conjunto"

    mdatp health --details scheduled_scan
    

    Nos resultados, deverá conseguir ver [gerido].

Opção 3: Configurar análises agendadas através da ferramenta da CLI

Para ativar a funcionalidade de análise agendada:

Versão Comando
Versão 101.23122.x ou posterior sudo mdatp config scheduled-scan settings feature --value enabled

Para agendar análises rápidas por hora:

Versão Comando
Versão 101.23122.x ou posterior sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\>

Captura de ecrã a mostrar a análise agendada por hora.

Para agendar análises rápidas diárias:

Versão Comando
Versão 101.23122.x ou posterior sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\>

Captura de ecrã a mostrar a agenda da análise rápida diária.

Para agendar análises semanais:

Versão Comando
Versão 101.23122.x ou posterior sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\>

Captura de ecrã a mostrar a análise semanal agendada.

Para outras opções de configuração:

  • Para verificar a atualização de definições antes das análises agendadas:

    sudo mdatp config scheduled-scan settings check-for-definitions --value true

  • Para utilizar threads de baixa prioridade para análise agendada:

    sudo mdatp config scheduled-scan settings low-priority --value true

Verifique se a análise agendada foi executada

Utilize o seguinte comando:

mdatp scan list

Captura de ecrã a mostrar a agenda executada. \<snip\>

Captura de ecrã a mostrar a agenda executada com êxito.

Importante

As análises agendadas não são executadas na hora agendada enquanto o dispositivo está em modo de espera. Em vez disso, as análises agendadas são executadas quando o dispositivo sai do modo de suspensão. Se o dispositivo estiver desativado, a análise será executada na próxima hora de análise agendada.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.