Ressourcer til Microsoft Defender for Endpoint på macOS

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Indsamling af diagnosticeringsoplysninger

Hvis du kan genskabe et problem, skal du øge logføringsniveauet, køre systemet i et stykke tid og gendanne logføringsniveauet til standardniveauet.

1. Forøg logføringsniveauet:

   mdatp log level set --level debug
   

   Log level configured successfully
   

2. Genskab problemet

3. Kør sudo mdatp diagnostic create for at sikkerhedskopiere de Microsoft Defender for Endpoint logfiler. Filerne gemmes i et .zip arkiv. Denne kommando udskriver også filstien til sikkerhedskopien, når handlingen er fuldført.

   Tip

   Diagnosticeringslogge gemmes som standard i /Library/Application Support/Microsoft/Defender/wdavdiag/. Hvis du vil ændre den mappe, hvor diagnosticeringslogge gemmes, skal du gå --path [directory] til nedenstående kommando og erstatte [directory] den med den ønskede mappe.

   sudo mdatp diagnostic create
   

   Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
   

4. Gendan logføringsniveau:

   mdatp log level set --level info
   

   Log level configured successfully
   

Logføring af installationsproblemer

Hvis der opstår en fejl under installationen, rapporterer installationsprogrammet kun en generel fejl.

Den detaljerede log gemmes i /Library/Logs/Microsoft/mdatp/install.log. Hvis du oplever problemer under installationen, kan du sende os denne fil, så vi kan hjælpe med at diagnosticere årsagen. Hvis du vil foretage yderligere fejlfinding af installationsproblemer, skal du gennemse Foretag fejlfinding af installationsproblemer for Microsoft Defender for Endpoint på macOS

Afinstallere

Bemærk!

Før du fjerner Microsoft Defender for Endpoint på macOS, skal du offboard pr. Offboard-enheder, der ikke er Windows-enheder.

Der er flere måder at fjerne Microsoft Defender for Endpoint på macOS på. Bemærk, at selvom den centralt administrerede fjernelse er tilgængelig på JAMF, er den endnu ikke tilgængelig for Microsoft Intune.

Interaktiv fjernelse

• Open Finder > Applications. Højreklik på Microsoft Defender for Endpoint > Flyt til papirkurven.

Understøttede outputtyper

Understøtter outputtyper i tabel- og JSON-format. Der er en standardfunktionsmåde for output for hver kommando. Du kan ændre outputtet i dit foretrukne outputformat ved hjælp af følgende kommandoer:

-output json

-output table

Fra kommandolinjen

• sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

Brug af JAMF Pro

Hvis du vil fjerne Microsoft Defender for Endpoint på macOS ved hjælp af JAMF Pro, skal du uploade offboarding-profilen.

Offboarding-profilen skal uploades uden ændringer og med Præference domænenavn angivet til com.microsoft.wdav.atp.offboarding:

Konfiguration fra kommandolinjen

Vigtige opgaver, f.eks. styring af produktindstillinger og udløsning af scanninger efter behov, kan udføres fra kommandolinjen:

Gruppe	Scenarie	Kommando
Konfiguration	Slå passiv antivirustilstand til/fra	mdatp config passive-mode --value [enabled/disabled]
Konfiguration	Slå beskyttelse i realtid til/fra	mdatp config real-time-protection --value [enabled/disabled]
Konfiguration	Slå skybeskyttelse til/fra	mdatp config cloud --value [enabled/disabled]
Konfiguration	Slå produktdiagnosticering til/fra	mdatp config cloud-diagnostic --value [enabled/disabled]
Konfiguration	Slå automatisk eksempelafsendelse til/fra	mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
Konfiguration	Slå PUA-beskyttelse til/fra	mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off
Konfiguration	Tilføj/fjern en antivirusudeladelse for en proces	mdatp exclusion process [add/remove] --path [path-to-process]Eller mdatp exclusion process [add\|remove] --name [process-name]
Konfiguration	Tilføj/fjern en antivirusudeladelse for en fil	mdatp exclusion file [add/remove] --path [path-to-file]
Konfiguration	Tilføj/fjern en antivirusudeladelse for en mappe	mdatp exclusion folder [add/remove] --path [path-to-directory]
Konfiguration	Tilføj/fjern en antivirusudeladelse for et filtypenavn	mdatp exclusion extension [add/remove] --name [extension]
Konfiguration	Vis alle antivirusudeladelser	mdatp exclusion list
Konfiguration	Konfigurer graden af parallelitet for scanninger efter behov	mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Konfiguration	Slå scanninger til/fra efter sikkerhedsintelligensopdateringer	mdatp config scan-after-definition-update --value [enabled/disabled]
Konfiguration	Slå arkivscanning til/fra (kun efter behov)	mdatp config scan-archives --value [enabled/disabled]
Konfiguration	Slå beregning af filhash til/fra	mdatp config enable-file-hash-computation --value [enabled/disabled]
Beskyttelse	Scan en sti	mdatp scan custom --path [path] [--ignore-exclusions]
Beskyttelse	Foretage en hurtig scanning	mdatp scan quick
Beskyttelse	Foretage en fuld scanning	mdatp scan full
Beskyttelse	Annuller en igangværende scanning efter behov	mdatp scan cancel
Beskyttelse	Anmod om en sikkerhedsintelligensopdatering	mdatp definitions update
Konfiguration	Føj et trusselsnavn til listen over tilladte	mdatp threat allowed add --name [threat-name]
Konfiguration	Fjern et trusselsnavn fra listen over tilladte	mdatp threat allowed remove --name [threat-name]
Konfiguration	Vis alle tilladte trusselsnavne	mdatp threat allowed list
Beskyttelsesoversigt	Udskriv historikken for fuld beskyttelse	mdatp threat list
Beskyttelsesoversigt	Få detaljer om trusler	mdatp threat get --id [threat-id]
Karantænestyring	Vis alle filer, der er sat i karantæne	mdatp threat quarantine list
Karantænestyring	Fjern alle filer fra karantænen	mdatp threat quarantine remove-all
Karantænestyring	Tilføj en fil, der er registreret som en trussel mod karantænen	mdatp threat quarantine add --id [threat-id]
Karantænestyring	Fjern en fil, der er registreret som en trussel, fra karantænen	mdatp threat quarantine remove --id [threat-id]
Karantænestyring	Gendan en fil fra karantænen. Tilgængelig i Defender for Endpoint-version, der er lavere end 101.23092.0012.	mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Karantænestyring	Gendan en fil fra karantænen med Threat ID. Tilgængelig i Defender for Endpoint version 101.23092.0012 eller nyere.	mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder]
Karantænestyring	Gendan en fil fra karantænen med Threat Original Path. Tilgængelig i Defender for Endpoint version 101.23092.0012 eller nyere.	mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Konfiguration af netværksbeskyttelse	Konfigurer håndhævelsesniveauet for netværksbeskyttelse	mdatp config network-protection enforcement-level --value [Block/Audit/Disabled]
Administration af netværksbeskyttelse	Kontrollér, at Netværksbeskyttelse er startet	mdatp health --field network_protection_status
Administration af enhedskontrol	Er Enhedshåndtering aktiveret, og hvad er standard gennemtvingelsen?	mdatp device-control policy preferences list
Administration af enhedskontrol	Hvilken politik for enhedskontrol er aktiveret?	mdatp device-control policy rules list
Administration af enhedskontrol	Hvilke politikgrupper for enhedskontrol er aktiveret?	mdatp device-control policy groups list
Konfiguration	Slå forebyggelse af datatab til/fra	mdatp config data_loss_prevention --value [enabled/disabled]
Diagnostik	Skift logniveau	mdatp log level set --level [error/warning/info/verbose]
Diagnostik	Generér diagnosticeringslogge	mdatp diagnostic create --path [directory]
Sundhed	Kontrollér produktets tilstand	mdatp health
Sundhed	Kontrollér, om der er en bestemt produktattribut	mdatp health --field [attribute: healthy/licensed/engine_version...]
EDR	Udeladelser fra EDR-lister (rod)	mdatp edr exclusion list [processes|paths|extensions|all]
EDR	Angiv/fjern mærke. Det er kun GROUP, der understøttes	mdatp edr tag set --name GROUP --value [name]
EDR	Fjern gruppekode fra enhed	mdatp edr tag remove --tag-name [name]
EDR	Tilføj gruppe-id	mdatp edr group-ids --group-id [group]

Sådan aktiveres automatisk fuldførelse

Hvis du vil aktivere automatisk fuldførelse i bash, skal du køre følgende kommando og genstarte terminalsessionen:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

Sådan aktiveres automatisk fuldførelse i zsh:

• Kontrollér, om automatisk fuldførelse er aktiveret på enheden:

  cat ~/.zshrc | grep autoload
  

• Hvis den foregående kommando ikke giver noget output, kan du aktivere autofuldførelse ved hjælp af følgende kommando:

  echo "autoload -Uz compinit && compinit" >> ~/.zshrc
  

• Kør følgende kommandoer for at aktivere autofuldførelse for Microsoft Defender for Endpoint på macOS, og genstart Terminal-sessionen:

  sudo mkdir -p /usr/local/share/zsh/site-functions
  
  sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
  

Mappen med klient-Microsoft Defender for Endpoint karantæne

/Library/Application Support/Microsoft/Defender/quarantine/ indeholder de filer, der er sat i karantæne af mdatp. Filerne er navngivet efter trusselssporings-id'et. De aktuelle trackingIds vises med mdatp threat list.

Microsoft Defender for Endpoint portaloplysninger

Den Microsoft Defender for Endpoint blog, EDR funktioner til macOS er nu ankommet giver detaljeret vejledning om, hvad de kan forvente.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.