資源
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
收集診斷資訊
如果您可以重現問題,請先增加記錄層級、執行系統一段時間,然後將記錄層級還原為預設值。
增加記錄層級:
mdatp log level set --level debugLog level configured successfully重現問題。
執行下列命令來備份適用於端點的 Defender 記錄。 這些檔案會儲存在 .zip 封存內。
sudo mdatp diagnostic create此指令也會在作業成功之後列印備份的檔案路徑:
Diagnostic file created: <path to file>還原記錄層級:
mdatp log level set --level infoLog level configured successfully
記錄安裝問題
如果安裝期間發生錯誤,安裝程式只會回報一般失敗。
詳細的記錄檔將會儲存至 /var/log/microsoft/mdatp/install.log。
如果您在安裝期間遇到問題,請傳送此檔案給我們,以便協助診斷原因。
在 Linux 上卸載適用於端點的 Defender
有數種方式可在Linux上卸載適用於端點的Defender。 如果您使用 Puppet 之類的組態工具,請遵循組態工具的套件卸載指示。
手動卸載
-
sudo yum remove mdatp適用於 CentOS 和 Oracle Linux) (RHEL 和變體。 -
sudo zypper remove mdatp適用於 SLES 和變體。 -
sudo apt-get purge mdatp適用於Ubuntu和Debian系統。 -
sudo dnf remove mdatpfor 函式
從命令行進行設定
您可以從命令行完成重要工作,例如控制產品設定和觸發隨選掃描。
全域選項
根據預設,命令行工具會以人類可讀取的格式輸出結果。 此外,此工具也支援將結果輸出為 JSON,這對自動化案例很有用。 若要將輸出變更為 JSON,請傳遞 --output json 至下列任何命令。
支援命令
下表列出一些最常見案例的命令。
mdatp help從終端機執行 ,以檢視支援的命令完整清單。
| Group | 案例 | 命令 |
|---|---|---|
| 組態 | 開啟/關閉實時保護 | mdatp config real-time-protection --value [enabled\|disabled] |
| 組態 | 開啟/關閉行為監視 | mdatp config behavior-monitoring --value [enabled\|disabled] |
| 組態 | 開啟/關閉雲端保護 | mdatp config cloud --value [enabled\|disabled] |
| 組態 | 開啟/關閉產品診斷 | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| 組態 | 開啟/關閉自動提交範例 | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| 組態 | 開啟/關閉AV被動模式 | mdatp config passive-mode --value [enabled\|disabled] |
| 組態 | 新增/移除擴展名的防病毒軟體排除專案 | mdatp exclusion extension [add\|remove] --name [extension] |
| 組態 | 新增/移除檔案的防病毒軟體排除專案 | mdatp exclusion file [add\|remove] --path [path-to-file] |
| 組態 | 新增/移除目錄的防病毒軟體排除 | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| 組態 | 新增/移除進程的防病毒軟體排除 | mdatp exclusion process [add\|remove] --path [path-to-process] |
| 組態 | 新增/移除檔案的全域排除 | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| 組態 | 新增/移除目錄的全域排除 | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| 組態 | 新增/移除進程的全域排除 | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| 組態 | 列出所有防病毒軟體排除專案 | mdatp exclusion list |
| 組態 | 將威脅名稱新增至允許的清單 | mdatp threat allowed add --name [threat-name] |
| 組態 | 從允許的清單中移除威脅名稱 | mdatp threat allowed remove --name [threat-name] |
| 組態 | 列出所有允許的威脅名稱 | mdatp threat allowed list |
| 組態 | 開啟 PUA 保護 | mdatp threat policy set --type potentially_unwanted_application --action block |
| 組態 | 關閉 PUA 保護 | mdatp threat policy set --type potentially_unwanted_application --action off |
| 組態 | 開啟 PUA 保護的稽核模式 | mdatp threat policy set --type potentially_unwanted_application --action audit |
| 組態 | 設定隨選掃描的平行處理原則程度 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 組態 | 在安全性情報更新之後開啟/關閉掃描 | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 組態 | 只開啟/關閉封存掃描 (視需要掃描) | mdatp config scan-archives --value [enabled/disabled] |
| 組態 | 開啟/關閉檔案哈希計算 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 診斷 | 變更記錄層級 | mdatp log level set --level verbose [error|warning|info|verbose] |
| 診斷 | 產生診斷記錄 | mdatp diagnostic create --path [directory] |
| 診斷 | 保留產品記錄的大小限制 | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| 健康情況 | 檢查產品的健康情況 | mdatp health |
| 保護 | 掃描路徑 | mdatp scan custom --path [path] [--ignore-exclusions] |
| 保護 | 執行快速掃描 | mdatp scan quick |
| 保護 | 執行完整掃描 | mdatp scan full |
| 保護 | 取消進行中的隨選掃描 | mdatp scan cancel |
| 保護 | 要求安全性情報更新 | mdatp definitions update |
| 保護 | 將安全性情報復原到原始的預設集合 | mdatp definitions restore |
| 保護歷程記錄 | 列印完整的保護歷程記錄 | mdatp threat list |
| 保護歷程記錄 | 取得威脅詳細數據 | mdatp threat get --id [threat-id] |
| 隔離管理 | 列出所有隔離的檔案 | mdatp threat quarantine list |
| 隔離管理 | 從隔離區移除所有檔案 | mdatp threat quarantine remove-all |
| 隔離管理 | 將偵測到的檔案新增至隔離區的威脅 | mdatp threat quarantine add --id [threat-id] |
| 隔離管理 | 從隔離區移除偵測到為威脅的檔案 | mdatp threat quarantine remove --id [threat-id] |
| 隔離管理 | 從隔離區還原檔案。 適用於端點的 Defender 版本低於 101.23092.0012。 | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 隔離管理 | 使用威脅標識碼從隔離區還原檔案。 適用於端點的 Defender 版本 101.23092.0012 或更新版本中提供。 | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 隔離管理 | 使用威脅原始路徑從隔離區還原檔案。 適用於端點的 Defender 版本 101.23092.0012 或更新版本中提供。 | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| 端點偵測及回應 | 設定早期預覽 | mdatp edr early-preview [enabled\|disabled] |
| 端點偵測及回應 | 設定 group-id | mdatp edr group-ids --group-id [group-id] |
| 端點偵測及回應 | 設定/移除標記,僅 GROUP 支援 |
mdatp edr tag set --name GROUP --value [tag] |
| 端點偵測及回應 | 列出根) (排除專案 | mdatp edr exclusion list [processes|paths|extensions|all] |
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。