Behandeln von Leistungsproblemen für Microsoft Defender for Endpoint unter macOS

  • Artikel

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Dieser Artikel enthält einige allgemeine Schritte, die verwendet werden können, um Leistungsprobleme im Zusammenhang mit Defender für Endpunkt unter macOS einzugrenzen.

Abhängig von den Anwendungen, die Sie ausführen, und den Merkmalen Ihres Geräts kann es zu einer suboptimalen Leistung kommen, wenn Sie Microsoft Defender for Endpoint unter macOS ausführen. Insbesondere Anwendungen oder Systemprozesse, die über einen kurzen Zeitraum auf viele Ressourcen zugreifen, können zu Leistungsproblemen in Defender für Endpunkt unter macOS führen.

Warnung

Bevor Sie die in diesem Artikel beschriebenen Verfahren ausführen, stellen Sie sicher, dass andere Sicherheitsprodukte derzeit nicht auf dem Gerät ausgeführt werden. Mehrere Sicherheitsprodukte können in Konflikt geraten und die Hostleistung beeinträchtigen.

Behandeln von Leistungsproblemen mithilfe von Echtzeitschutzstatistiken

Gilt für:

  • Nur Leistungsprobleme im Zusammenhang mit Microsoft Defender Antivirus (wdavdaemon_unpriviliged).

Echtzeitschutz (Real-Time Protection, RTP) ist ein Feature von Defender für Endpunkt unter macOS, das Ihr Gerät kontinuierlich überwacht und vor Bedrohungen schützt. Es besteht aus Datei- und Prozessüberwachung und anderen Heuristiken.

Voraussetzungen:

  • Microsoft Defender for Endpoint Version (Plattformupdate) 100.90.70 oder höher
  • Wenn Sie den Manipulationsschutz im Blockmodus aktiviert haben, verwenden Sie den Problembehandlungsmodus , um Echtzeitschutzstatistiken zu erfassen. Andernfalls erhalten Sie NULL-Ergebnisse.

Führen Sie die folgenden Schritte aus, um solche Probleme zu beheben und zu beheben:

  1. Deaktivieren Sie den Echtzeitschutz mithilfe einer der Methoden in der folgenden Tabelle, und beobachten Sie dann, ob sich die Leistung verbessert. Dieser Ansatz hilft dabei einzugrenzen, ob Microsoft Defender for Endpoint unter macOS zu den Leistungsproblemen beiträgt.

    Geräteverwaltung Methode
    Das Gerät wird nicht von organization verwaltet. Benutzeroberfläche: Öffnen Sie Microsoft Defender for Endpoint unter macOS, und navigieren Sie zu Einstellungen verwalten.
    Das Gerät wird nicht von organization verwaltet. Terminal: Führen Sie im Terminal den folgenden Befehl aus: mdatp config real-time-protection --value disabled
    Das Gerät wird von organization verwaltet. Weitere Informationen finden Sie unter Festlegen von Einstellungen für Microsoft Defender for Endpoint unter macOS.

    Wenn das Leistungsproblem weiterhin besteht, während der Echtzeitschutz deaktiviert ist, kann der Ursprung des Problems die Endpunkterkennungs- und -antwortkomponente sein. Wenden Sie sich in diesem Fall an den Kundensupport, um weitere Anweisungen und Abhilfemaßnahmen zu erhalten.

  2. Öffnen Sie finder, und navigieren Sie zuAnwendungshilfsprogramme>. Öffnen Sie den Aktivitätsmonitor , und analysieren Sie, welche Anwendungen die Ressourcen auf Ihrem System verwenden. Typische Beispiele sind Softwareupdater und Compiler.

  3. Für dieses Feature muss der Echtzeitschutz aktiviert sein. Führen Sie den folgenden Befehl aus, um die status des Echtzeitschutzes zu überprüfen:

    mdatp health --field real_time_protection_enabled

    Vergewissern Sie sich, dass der real_time_protection_enabled Eintrag true ist. Führen Sie andernfalls den folgenden Befehl aus, um ihn zu aktivieren:

    mdatp config real-time-protection --value enabled

    Configuration property updated

  4. Um die Anwendungen zu finden, die die meisten Überprüfungen auslösen, können Sie Echtzeitstatistiken verwenden, die von Defender für Endpunkt unter macOS gesammelt werden. Führen Sie den folgenden Befehl aus:

    mdatp config real-time-protection-statistics --value enabled.

    Für dieses Feature muss der Echtzeitschutz aktiviert sein. Führen Sie den folgenden Befehl aus, um die status des Echtzeitschutzes zu überprüfen:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json

    Hinweis

    Die Verwendung von --output json (beachten Sie den doppelten Bindestrich) stellt sicher, dass das Ausgabeformat für die Analyse bereit ist. Die Ausgabe dieses Befehls zeigt alle Prozesse und die zugehörige Scanaktivität an.

  5. Laden Sie auf Ihrem Mac-System den Python-Beispielparser high_cpu_parser.py mit dem Befehl herunter:

    curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py

    Die Ausgabe dieses Befehls sollte in etwa wie folgt aussehen:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.
mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1020 [text/plain]
Saving to: 'high_cpu_parser.py'
100%[===========================================>] 1,020    --.-K/s   in
0s

  6. Geben Sie die folgenden Befehle ein:

    chmod +x high_cpu_parser.py

    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log

    Die Ausgabe sollte eine Liste der wichtigsten Mitwirkenden an Leistungsproblemen sein. Die erste Spalte ist der Prozessbezeichner (Process Identifier, PID), die zweite Spalte der Prozessname, und die letzte Spalte ist die Anzahl der gescannten Dateien, sortiert nach Auswirkung. Hier ist ein Beispiel:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
27432 None 76703
73467 actool     1249
73914 xcodebuild 1081
73873 bash 1050
27475 None 836
1    launchd    407
73468 ibtool     344
549  telemetryd_v1   325
4764 None 228
125  CrashPlanService 164

  7. Um die Leistung von Defender für Endpunkt für Mac zu verbessern, suchen Sie in der Zeile Gescannte Dateien gesamt nach dem Wert mit der höchsten Anzahl, und fügen Sie dann einen Ausschluss dafür hinzu. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Defender für Endpunkt unter macOS.

    Hinweis

    Die Anwendung speichert Statistiken im Arbeitsspeicher und verfolgt nur die Dateiaktivität nach, seit sie gestartet und der Echtzeitschutz aktiviert wurde. Prozesse, die vor oder zu Zeiten gestartet wurden, in denen der Echtzeitschutz deaktiviert war, werden nicht gezählt. Darüber hinaus werden nur Ereignisse gezählt, die Überprüfungen ausgelöst haben.

  8. Konfigurieren Sie Microsoft Defender for Endpoint unter macOS mit Ausschlüssen für die Prozesse oder Datenträgerspeicherorte, die zu den Leistungsproblemen beitragen, und aktivieren Sie den Echtzeitschutz erneut.

    Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender for Endpoint unter macOS.

Behandeln von Leistungsproblemen mit Microsoft Defender for Endpoint Client Analyzer

Der Microsoft Defender for Endpoint Client Analyzer (MDECA) kann Ablaufverfolgungen, Protokolle und Diagnoseinformationen sammeln, um Leistungsprobleme auf integrierten Geräten unter macOS zu beheben.

Informationen zum Ausführen der Clientanalyse zur Behandlung von Leistungsproblemen finden Sie unter Ausführen der Clientanalyse unter macOS und Linux.

Hinweis

  • Das Microsoft Defender for Endpoint Client Analyzer-Tool wird regelmäßig von Microsoft Customer Support Services (CSS) verwendet, um Informationen wie (aber nicht beschränkt auf) IP-Adressen und PC-Namen zu sammeln, die bei der Behandlung von Problemen helfen, die möglicherweise mit Microsoft Defender for Endpoint auftreten. Weitere Informationen zu unseren Datenschutzbestimmungen finden Sie in den Datenschutzbestimmungen von Microsoft.
  • Als allgemeine bewährte Methode wird empfohlen, den Microsoft Defender for Endpoint-Agent auf die neueste verfügbare Version zu aktualisieren und zu bestätigen, dass das Problem weiterhin besteht, bevor die Untersuchung weiter ausgeführt wird.