Modo de resolução de problemas no Microsoft Defender para Endpoint no macOS
Aplica-se a:
- Microsoft Defender XDR
- API do Microsoft Defender para Endpoint 2
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint no macOS
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Este artigo descreve como ativar o modo de resolução de problemas no Microsoft Defender para Endpoint no macOS para que os administradores possam resolver problemas de várias funcionalidades do Antivírus Microsoft Defender temporariamente, mesmo que as políticas organizacionais giram os dispositivos.
Por exemplo, se a proteção contra adulteração estiver ativada, determinadas definições não podem ser modificadas ou desativadas, mas pode utilizar o modo de resolução de problemas no dispositivo para editar essas definições temporariamente.
O modo de resolução de problemas está desativado por predefinição e requer que o ative para um dispositivo (e/ou grupo de dispositivos) durante um período de tempo limitado. O modo de resolução de problemas é exclusivamente uma funcionalidade apenas para empresas e requer acesso ao portal Microsoft Defender.
O que precisa de saber antes de começar
Durante o modo de resolução de problemas, pode:
Utilize Microsoft Defender para Endpoint na resolução de problemas funcionais do macOS /compatibilidade de aplicações (falsos positivos).
Os administradores locais, com as permissões adequadas, podem alterar as seguintes configurações bloqueadas por políticas em pontos finais individuais:
Definição Ativar Desativar/Remover Proteção Real-Time/Modo passivo/A Pedido mdatp config real-time-protection --value enabled
mdatp config real-time-protection --value disabled
Proteção de Rede mdatp config network-protection enforcement-level --value block
mdatp config network-protection enforcement-level --value disabled
realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled
mdatp config real-time-protection-statistics --value disabled
etiquetas mdatp edr tag set --name GROUP --value [name]
mdatp edr tag remove --tag-name [name]
groupIds mdatp edr group-ids --group-id [group]
DLP de ponto final mdatp config data_loss_prevention --value enabled
mdatp config data_loss_prevention --value disabled
Durante o modo de resolução de problemas, não pode:
- Desative a proteção contra adulteração para Microsoft Defender para Endpoint no macOS.
- Desinstale o Microsoft Defender para Endpoint no macOS.
Pré-requisitos
- Versão suportada do macOS para Microsoft Defender para Endpoint.
- Microsoft Defender para Endpoint tem de estar inscrito no inquilino e ativo no dispositivo.
- Permissões para "Gerir definições de segurança no Centro de Segurança" no Microsoft Defender para Endpoint.
- Versão da Atualização da Plataforma: 101.23122.0005 ou mais recente.
Ativar o modo de resolução de problemas no macOS
Aceda ao portal Microsoft Defender e inicie sessão.
Navegue para a página do dispositivo que pretende ativar o modo de resolução de problemas. Em seguida, selecione as reticências(...) e selecione Ativar modo de resolução de problemas.
Nota
A opção Ativar o modo de resolução de problemas está disponível em todos os dispositivos, mesmo que o dispositivo não cumpra os pré-requisitos para o modo de resolução de problemas.
Leia as informações apresentadas no painel e, quando estiver pronto, selecione Submeter para confirmar que pretende ativar o modo de resolução de problemas para esse dispositivo.
Verá Que poderá demorar alguns minutos até que a alteração produza efeito no texto que está a ser apresentado. Durante este período, quando selecionar novamente as reticências, verá que o modo Ativar Resolução de Problemas está pendente .
Depois de concluída, a página do dispositivo mostra que o dispositivo está agora no modo de resolução de problemas.
Se o utilizador final tiver sessão iniciada no dispositivo macOS, verá o seguinte texto:
O modo de resolução de problemas foi iniciado. Este modo permite-lhe alterar temporariamente as definições geridas pelo administrador. Expira às YEAR-MM-DDTHH:MM:SSZ.
Selecione OK.
Depois de ativada, pode testar as diferentes opções da linha de comandos que são toggláveis no modo de resolução de problemas (Modo TS).
Por exemplo, quando utiliza
mdatp config real-time-protection --value disabled
o comando para desativar a proteção em tempo real, ser-lhe-á pedido que introduza a sua palavra-passe. Selecione OK depois de introduzir a sua palavra-passe.O relatório de saída semelhante à seguinte captura de ecrã será apresentado na execução do estado de funcionamento do mdatp com
real_time_protection_enabled
como "falso" etamper_protection
como "bloco".
Consultas de investigação avançadas para deteção
Existem algumas consultas de investigação avançadas pré-criadas para lhe dar visibilidade sobre os eventos de resolução de problemas que estão a ocorrer no seu ambiente. Pode utilizar estas consultas para criar regras de deteção para gerar alertas quando os dispositivos estão no modo de resolução de problemas.
Obter eventos de resolução de problemas para um dispositivo específico
Pode utilizar a seguinte consulta para procurar ou deviceId
deviceName
ao comentar as respetivas linhas.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Dispositivos atualmente no modo de resolução de problemas
Pode encontrar os dispositivos que estão atualmente no modo de resolução de problemas com a seguinte consulta:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Contagem de instâncias do modo de resolução de problemas por dispositivo
Pode encontrar o número de instâncias do modo de resolução de problemas para um dispositivo com a seguinte consulta:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Contagem total
Pode saber a contagem total de instâncias do modo de resolução de problemas com a seguinte consulta:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Conteúdo recomendado
- Microsoft Defender XDR para Endpoint no Mac
- Microsoft Defender XDR para integração de Pontos finais com o Microsoft Defender XDR para Aplicações na Cloud
- Conhecer as funcionalidades inovadoras no Microsoft Edge
- Proteger a sua rede
- Ativar a proteção da rede
- Proteção Web
- Criar indicadores
- Filtragem de conteúdos Web
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.