共用方式為


macOS 上 適用於端點的 Microsoft Defender 的疑難解答模式

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

本文說明如何在 macOS 上啟用 適用於端點的 Microsoft Defender 的疑難解答模式,讓系統管理員可以暫時針對各種 Microsoft Defender 防病毒軟體功能進行疑難解答,即使組織原則管理裝置也一樣。

例如,如果啟用竄改保護,則無法修改或關閉某些設定,但您可以在裝置上使用疑難解答模式來暫時編輯這些設定。

根據預設,疑難解答模式會停用,而且需要您針對裝置 (和/或裝置群組開啟,) 一段有限的時間。 疑難解答模式僅限企業功能,需要存取 Microsoft Defender 入口網站

開始之前,您需要知道的事項

在疑難解答模式中,您可以:

  • 在macOS上使用 適用於端點的 Microsoft Defender 功能疑難解答 /application 相容性 (誤判) 。

  • 具有適當許可權的本機系統管理員可以在個別端點上變更下列原則鎖定設定:

    設定 啟用 停用/移除
    Real-Time 保護/被動模式/隨選 mdatp config real-time-protection --value enabled mdatp config real-time-protection --value disabled
    網路保護 mdatp config network-protection enforcement-level --value block mdatp config network-protection enforcement-level --value disabled
    realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled mdatp config real-time-protection-statistics --value disabled
    標記 mdatp edr tag set --name GROUP --value [name] mdatp edr tag remove --tag-name [name]
    groupIds mdatp edr group-ids --group-id [group]
    端點 DLP mdatp config data_loss_prevention --value enabled mdatp config data_loss_prevention --value disabled

在疑難解答模式中,您無法:

  • 停用macOS上 適用於端點的 Microsoft Defender的竄改保護。
  • 在macOS上卸載 適用於端點的 Microsoft Defender。

必要條件

  • 支援的macOS版本,適用於 適用於端點的 Microsoft Defender。
  • 適用於端點的 Microsoft Defender 在裝置上必須是租用戶註冊且作用中。
  • 適用於端點的 Microsoft Defender 中「在資訊安全中心管理安全性設定」的許可權。
  • 平臺更新版本: 101.23122.0005 或更新版本。

在macOS上啟用疑難解答模式

  1. 移至 Microsoft Defender 入口網站,然後登入。

  2. 流覽至您想要開啟疑難解答模式的裝置頁面。 然後,選取省略號 (...) ,然後選取 [ 開啟疑難解答模式]

    顯示mac上疑難解答模式螢幕快照的螢幕快照。

    注意事項

    即使裝置不符合疑難解答模式的必要條件,所有裝置上仍可使用 [ 開啟疑難解答模式 ] 選項。

  3. 閱讀窗格上顯示的資訊,一旦準備好,請選取 [ 提交 ] 以確認您想要開啟該裝置的疑難解答模式。

  4. 您會看到 可能需要幾分鐘的時間,變更才會生效 顯示文字。 在此期間,當您再次選取省略號時,您會看到 [開啟疑難解答模式擱置 ] 選項呈現灰色。

  5. 完成後,裝置頁面會顯示裝置現在處於疑難解答模式。

    如果使用者登入 macOS 裝置,他們會看到下列文字:

    疑難解答模式已啟動。 此模式可讓您暫時變更系統管理員所管理的設定。 在 YEAR-MM-DDTHH:MM:SSZ 到期。

    選取 [確定]

  6. 啟用之後,您可以測試可在疑難解答模式中切換的不同命令行選項, (TS 模式) 。

    例如,當您使用 命令停用 mdatp config real-time-protection --value disabled 即時保護時,系統會提示您輸入密碼。 輸入密碼之後,選取 [ 確定 ]。

    顯示停用即時保護螢幕快照的螢幕快照。

    在執行 mdatp 健康 real_time_protection_enabled 情況時,會顯示類似下列螢幕快照的輸出報告,其為 “false” 和 tamper_protection “block”。

    顯示執行中 mdatp 健康情況之輸出報告螢幕快照的 Screnshot。

用於偵測的進階搜捕查詢

有一些預先建置的進階搜捕查詢,可讓您查看環境中發生的疑難解答事件。 您可以使用這些查詢來 建立偵測規則 ,以在裝置處於疑難解答模式時產生警示。

取得特定裝置的疑難解答事件

您可以使用下列查詢來搜尋 deviceIddeviceName 批注化個別行。

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

目前處於疑難解答模式的裝置

您可以使用下列查詢找到目前處於疑難解答模式的裝置:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

依裝置的疑難解答模式實例計數

您可以使用下列查詢,找到裝置的疑難解答模式實例數目:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

總計計數

您可以使用下列查詢來瞭解疑難解答模式實例的總計數:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。