macOS 上的Microsoft Defender for Endpoint资源
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
收集诊断信息
如果可以重现问题,请提高日志记录级别,运行系统一段时间,然后将日志记录级别还原到默认值。
提高日志记录级别:
mdatp log level set --level debugLog level configured successfully重现问题。
运行
sudo mdatp diagnostic create以备份Microsoft Defender for Endpoint日志。 这些文件存储在存档中.zip。 此命令还会在操作成功后打印备份的文件路径。提示
默认情况下,诊断日志保存到
/Library/Application Support/Microsoft/Defender/wdavdiag/。 若要更改保存诊断日志的目录,请传递给--path [directory]以下命令,并将[directory]替换为所需的目录。sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"还原日志记录级别。
mdatp log level set --level infoLog level configured successfully
日志记录安装问题
如果在安装过程中发生错误,安装程序仅报告常规故障。 详细日志将保存到 /Library/Logs/Microsoft/mdatp/install.log。 如果在安装过程中遇到问题,请在打开支持案例时向我们发送此文件,以便我们帮助诊断原因。
若要进一步排查安装问题,请参阅排查 macOS 上Microsoft Defender for Endpoint的安装问题。
从命令行进行配置
支持的输出类型
支持表和 JSON 格式输出类型。 对于每个命令,都有一个默认的输出行为。 可以使用以下命令以首选输出格式修改输出:
-output json
-output table
可以使用命令行完成重要任务,例如控制产品设置和触发按需扫描:
| 组 | 应用场景 | 命令 |
|---|---|---|
| 配置 | 在被动模式下打开/关闭防病毒 | mdatp config passive-mode --value [enabled/disabled] |
| 配置 | 打开/关闭实时保护 | mdatp config real-time-protection --value [enabled/disabled] |
| 配置 | 打开/关闭行为监视 | mdatp config behavior-monitoring --value [enabled/disabled] |
| 配置 | 打开/关闭云保护 | mdatp config cloud --value [enabled/disabled] |
| 配置 | 打开/关闭产品诊断 | mdatp config cloud-diagnostic --value [enabled/disabled] |
| 配置 | 打开/关闭自动示例提交 | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| 配置 | 打开/审核/关闭 PUA 保护 | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| 配置 | 为进程添加/删除防病毒排除项 |
mdatp exclusion process [add/remove] --path [path-to-process]或 mdatp exclusion process [add\|remove] --name [process-name] |
| 配置 | 为文件添加/删除防病毒排除项 | mdatp exclusion file [add/remove] --path [path-to-file] |
| 配置 | 为目录添加/删除防病毒排除项 | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| 配置 | 为文件扩展名添加/删除防病毒排除项 | mdatp exclusion extension [add/remove] --name [extension] |
| 配置 | 列出所有防病毒排除项 | mdatp exclusion list |
| 配置 | 配置按需扫描的并行度 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 配置 | 在安全智能更新后打开/关闭扫描 | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 配置 | 仅) 启用/关闭存档扫描 (按需扫描 | mdatp config scan-archives --value [enabled/disabled] |
| 配置 | 打开/关闭文件哈希计算 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 保护 | 扫描路径 | mdatp scan custom --path [path] [--ignore-exclusions] |
| 保护 | 执行快速扫描 | mdatp scan quick |
| 保护 | 执行完全扫描 | mdatp scan full |
| 保护 | 取消正在进行的按需扫描 | mdatp scan cancel |
| 保护 | 请求安全智能更新 | mdatp definitions update |
| 配置 | 向允许列表添加威胁名称 | mdatp threat allowed add --name [threat-name] |
| 配置 | 从允许列表中删除威胁名称 | mdatp threat allowed remove --name [threat-name] |
| 配置 | 列出所有允许的威胁名称 | mdatp threat allowed list |
| 保护历史记录 | 打印完整的保护历史记录 | mdatp threat list |
| 保护历史记录 | 获取威胁详细信息 | mdatp threat get --id [threat-id] |
| 隔离管理 | 列出所有隔离的文件 | mdatp threat quarantine list |
| 隔离管理 | 从隔离区中删除所有文件 | mdatp threat quarantine remove-all |
| 隔离管理 | 将检测到为威胁的文件添加到隔离区 | mdatp threat quarantine add --id [threat-id] |
| 隔离管理 | 从隔离区中删除检测到威胁的文件 | mdatp threat quarantine remove --id [threat-id] |
| 隔离管理 | 从隔离区还原文件。 在 101.23092.0012 之前的 Defender for Endpoint 版本中可用。 | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 隔离管理 | 使用威胁 ID 从隔离区还原文件。 在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。 | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 隔离管理 | 使用威胁原始路径从隔离区还原文件。 在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。 | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| 网络保护配置 | 配置网络保护强制级别 | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| 网络保护管理 | 检查网络保护是否已成功启动 | mdatp health --field network_protection_status |
| 设备控制管理 | 是否已启用设备控制,什么是默认强制? | mdatp device-control policy preferences list |
| 设备控制管理 | 启用了哪些设备控制策略? | mdatp device-control policy rules list |
| 设备控制管理 | 启用了哪些设备控制策略组? | mdatp device-control policy groups list |
| 配置 | 打开/关闭数据丢失防护 | mdatp config data_loss_prevention --value [enabled/disabled] |
| 诊断 | 更改日志级别 | mdatp log level set --level [error/warning/info/verbose] |
| 诊断 | 生成诊断日志 | mdatp diagnostic create --path [directory] |
| 运行状况 | 检查产品运行状况 | mdatp health |
| 运行状况 | 检查特定产品属性 | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | EDR 列表排除项 (根) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | 设置/删除标记,仅支持 GROUP | mdatp edr tag set --name GROUP --value [name] |
| EDR | 从设备中删除组标记 | mdatp edr tag remove --tag-name [name] |
| EDR | 添加组 ID | mdatp edr group-ids --group-id [group] |
如何启用自动完成
若要在 bash 中启用自动完成,请运行以下命令并重启终端会话:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
若要在 zsh 中启用自动完成,请:
检查设备上是否启用了自动完成:
cat ~/.zshrc | grep autoload如果上述命令未生成任何输出,则可以使用以下命令启用自动完成:
echo "autoload -Uz compinit && compinit" >> ~/.zshrc运行以下命令,为 macOS 上的Microsoft Defender for Endpoint启用自动完成,并重启终端会话:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
客户端Microsoft Defender for Endpoint隔离目录
/Library/Application Support/Microsoft/Defender/quarantine/ 包含由 mdatp隔离的文件。 这些文件以 threat trackingId 命名。 当前 trackingId 随 一起 mdatp threat list显示。
卸载
可通过多种方式在 macOS 上卸载Microsoft Defender for Endpoint。 虽然集中管理的卸载在 JAMF 上可用,但它尚不可用于Microsoft Intune。
在 macOS 上卸载Microsoft Defender for Endpoint需要满足以下条件:
创建设备标记,并将标记命名为已停用,并将其分配给正在卸载 macOS Microsoft Defender的 macOS。
创建 一个设备组 并将其命名 (例如 ,取消授权的 macOS) ,并分配一个应该能够看到它们的 用户组 。
注意:如果不想在“设备清单”中 180 天内看到这些已停用的设备,则步骤 1 和 2 是可选的。
通过手动配置删除包含 篡改防护 的“设置首选项”策略。
卸载适用于 macOS 应用的Microsoft Defender for Endpoint
如果使用 MDM 来设置设备,请从系统扩展策略的组中删除设备。
交互式卸载
- 打开 Finder > 应用程序。 右键单击Microsoft Defender for Endpoint,然后选择“移动到回收站”。
从命令行
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
使用 JAMF Pro
若要在 macOS 上使用 JAMF Pro 卸载Microsoft Defender for Endpoint请上传卸载配置文件。
应在不进行任何修改的情况下上传卸载配置文件,并将“首选项域名”设置为 com.microsoft.wdav.atp.offboarding,如下图所示:
注意
如果在 Mac 上卸载 Defender for Endpoint 时遇到问题,并在报告中看到Microsoft Defender Endpoint Security Extension 的项,请执行以下步骤:
- 重新安装Microsoft Defender应用。
- 将Microsoft Defender.app 拖到回收站。
- 运行以下命令:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook。 - 重启设备。
Microsoft Defender门户
检测到威胁后,安全团队可以查看检测,并在必要时在Microsoft Defender门户中 https://security.microsoft.com () 对设备执行响应操作。 Microsoft Defender将保护、检测、调查和响应威胁结合在一个中心位置。 有关详细信息,请参阅以下资源:
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。