Začínáme s režimem řešení potíží v Microsoft Defender for Endpoint

Platí pro:

• Microsoft Defender for Endpoint
• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Režim řešení potíží v Microsoft Defender for Endpoint umožňuje správcům řešit různé Microsoft Defender antivirové funkce, i když jsou zařízení spravovaná zásadami organizace. Pokud je například povolená ochrana před falšováním , nelze některá nastavení změnit nebo vypnout, ale můžete tato nastavení dočasně upravit pomocí režimu řešení potíží na zařízení.

Režim řešení potíží je ve výchozím nastavení zakázaný a vyžaduje, abyste ho na omezenou dobu zapnuli pro zařízení (nebo skupinu zařízení). Režim řešení potíží je výhradně podniková funkce a vyžaduje Microsoft Defender přístup k portálu.

Tip

• Během režimu řešení potíží můžete na zařízeních s Windows použít příkaz Set-MPPreference -DisableTamperProtection $true PowerShellu.
• Ke kontrole stavu ochrany před falšováním můžete použít rutinu PowerShellu Get-MpComputerStatus . V seznamu výsledků vyhledejte IsTamperProtected nebo RealTimeProtectionEnabled. (Hodnota true znamená, že je povolená ochrana před falšováním.) .

Co potřebujete vědět, než začnete?

Během režimu řešení potíží můžete pomocí příkazu Set-MPPreference -DisableTamperProtection $true PowerShellu nebo v klientských operačních systémech aplikace Security Center dočasně zakázat ochranu před falšováním na vašem zařízení a provést potřebné změny konfigurace.

• Pomocí režimu řešení potíží zakažte nebo změňte nastavení ochrany před falšováním tak, aby provádělo:

  • Microsoft Defender Řešení potíží s funkčním antivirovým programem / kompatibilitou aplikací (falešně pozitivní bloky aplikací).

• Místní správci s příslušnými oprávněními můžou měnit konfigurace jednotlivých koncových bodů, které jsou obvykle uzamčené zásadami. Nastavení zařízení v režimu řešení potíží může být užitečné při diagnostice Microsoft Defender scénářů výkonu a kompatibility antivirové ochrany.

  • Místní správci nemůžou Microsoft Defender Antivirovou ochranu vypnout ani odinstalovat.

  • Místní správci můžou nakonfigurovat všechna ostatní nastavení zabezpečení v sadě Microsoft Defender Antivirus (například cloudovou ochranu, ochranu před falšováním).

• Správci s oprávněním Spravovat nastavení zabezpečení mají přístup k zapnutí režimu řešení potíží.

• Microsoft Defender for Endpoint shromažďuje protokoly a data šetření v průběhu procesu řešení potíží.

  • MpPreference Snímek se pořídí před zahájením režimu řešení potíží.

  • Druhý snímek se pořídí těsně před vypršením platnosti režimu řešení potíží.

  • Shromažďují se také provozní protokoly z režimu řešení potíží.

  • Protokoly a snímky se shromažďují a správce je může shromažďovat pomocí funkce Shromáždit balíček pro šetření na stránce zařízení. Microsoft tato data ze zařízení neodebere, dokud je neshromáždí správce.

• Správci můžou také zkontrolovat změny v nastaveních, ke kterým dojde během režimu řešení potíží, v Prohlížeč událostí na stránce zařízení.

• Režim řešení potíží se po dosažení doby vypršení platnosti automaticky vypne (trvá 4 hodiny). Po vypršení platnosti se všechny konfigurace spravované zásadami znovu stanou jen pro čtení a před povolením režimu řešení potíží se vrátí k tomu, jak bylo zařízení nakonfigurováno.

• Od odeslání příkazu z Microsoft Defender XDR do okamžiku, kdy se příkaz na zařízení aktivuje, může trvat až 15 minut.

• Oznámení se uživateli odesílají při zahájení režimu řešení potíží a ukončení režimu řešení potíží. Odešle se také upozornění, které signalizuje, že režim řešení potíží brzy skončí.

• Začátek a konec režimu řešení potíží najdete na stránce Časová osa zařízení na zařízení.

• V rozšířeném proaktivním vyhledávání se můžete dotazovat na všechny události režimu řešení potíží.

Poznámka

Změny správy zásad se použijí na zařízení, když je aktivně v režimu řešení potíží. Změny se však neprojeví, dokud nevyprší platnost režimu řešení potíží. Aktualizace antivirové platformy Microsoft Defender se navíc během režimu řešení potíží neaplikují. Aktualizace platformy se použijí, když režim řešení potíží končí aktualizací Windows.

Požadavky

• Zařízení se systémem Windows 10 (verze 19044.1618 nebo novější), Windows 11, Windows Server 2019 nebo Windows Server 2022.

  Semestr/Redstone	Verze operačního systému	Release
  21H2/SV1	>=22000,593	KB5011563: Katalog služby Microsoft Update
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043,1620	KB5011543: Katalog služby Microsoft Update
  Windows Server 2022	>=20348,617	KB5011558: Katalog služby Microsoft Update
  Windows Server 2019 (RS5)	>=17763,2746	KB5011551: Katalog služby Microsoft Update

• Režim řešení potíží je k dispozici také pro počítače, na kterých běží moderní sjednocené řešení pro Windows Server 2012 R2 a Windows Server 2016. Než použijete režim řešení potíží, ujistěte se, že jsou všechny následující součásti aktuální:

  • Verze 10.8049.22439.1084 služby Sense nebo novější (KB5005292: Katalog služby Microsoft Update)

  • Microsoft Defender Antivirus – platforma: 4.18.2207.7 nebo novější (KB4052623: Katalog služby Microsoft Update)

  • Microsoft Defender Antivirus – modul: 1.1.19500.2 nebo novější (KB2267602: Katalog služby Microsoft Update)

• Pokud chcete použít režim řešení potíží, Microsoft Defender for Endpoint musí být na zařízení zaregistrované a aktivní v tenantovi.

• Zařízení musí aktivně používat Microsoft Defender Antivirus verze 4.18.2203 nebo novější.

Povolení režimu řešení potíží

1. Přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.

2. Přejděte na stránku zařízení nebo počítače pro zařízení, které chcete zapnout režim řešení potíží. Vyberte Zapnout režim řešení potíží. Pro Microsoft Defender for Endpoint musíte mít oprávnění Spravovat nastavení zabezpečení ve službě Security Center.

   

Poznámka

Možnost Zapnout režim řešení potíží je dostupná na všech zařízeních, a to i v případě, že zařízení nesplňuje požadavky pro režim řešení potíží.

3. Potvrďte, že chcete pro zařízení zapnout režim řešení potíží.

   

4. Stránka zařízení ukazuje, že je zařízení nyní v režimu řešení potíží.

   

Rozšířené dotazy proaktivního vyhledávání

Tady je několik předem připravených pokročilých dotazů proaktivního vyhledávání, které vám poskytnou přehled o událostech řešení potíží, ke kterým dochází ve vašem prostředí. Tyto dotazy můžete také použít k vytvoření pravidel detekce , která vygenerují výstrahy, když jsou zařízení v režimu řešení potíží.

Získání událostí řešení potíží pro konkrétní zařízení

Search podle deviceId nebo deviceName zakomentováním příslušných řádků.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Zařízení aktuálně v režimu řešení potíží

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Počet instancí režimu řešení potíží podle zařízení

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Celkový počet

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Související články

Tip

Tip k výkonu Vzhledem k různým faktorům může Microsoft Defender Antivirus, stejně jako ostatní antivirový software, způsobovat problémy s výkonem na zařízeních koncových bodů. V některých případech může být potřeba vyladit výkon Microsoft Defender Antivirové ochrany, aby se tyto problémy s výkonem zmírnily. Analyzátor výkonu od Microsoftu je nástroj příkazového řádku PowerShellu, který pomáhá určit, které soubory, cesty k souborům, procesy a přípony souborů můžou způsobovat problémy s výkonem. Mezi příklady patří:

• Hlavní cesty, které mají vliv na dobu kontroly
• Hlavní soubory, které mají vliv na dobu kontroly
• Hlavní procesy, které mají vliv na dobu kontroly
• Hlavní přípony souborů, které mají vliv na dobu kontroly
• Kombinace – například:
  • top files per extension
  • top paths per extension
  • top processes per path
  • top scans per file
  • top scans per file per process

Informace shromážděné pomocí Analyzátoru výkonu můžete použít k lepšímu posouzení problémů s výkonem a k použití nápravných akcí. Viz Analyzátor výkonu pro Microsoft Defender Antivirus.

• Scénáře režimu řešení problémů
• Ochrana nastavení zabezpečení pomocí ochrany před falšováním

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.