Comenzar con el modo de solución de problemas en Microsoft Defender para punto de conexión

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Microsoft Defender para punto de conexión modo de solución de problemas le permite solucionar problemas de varias características antivirus de Microsoft Defender al habilitarlas desde el dispositivo y probar diferentes escenarios, incluso si están controladas por la directiva de la organización. El modo de solución de problemas está deshabilitado de forma predeterminada y requiere que lo active para un dispositivo (o grupo de dispositivos) durante un tiempo limitado. Tenga en cuenta que se trata exclusivamente de una característica de solo Enterprise y requiere acceso Microsoft 365 Defender.

¿Qué necesita saber antes de empezar?

  • Use el modo de solución de problemas para deshabilitar o cambiar la configuración de protección contra alteraciones para realizar lo siguiente:

    • Antivirus de Microsoft Defender solución de problemas funcional /compatibilidad de aplicaciones (bloques de aplicación falsos positivos).

    • Antivirus de Microsoft Defender solución de problemas de rendimiento mediante el modo de solución de problemas y la manipulación de la protección contra alteraciones y otras configuraciones de antivirus.

  • Si se produce un evento de manipulación (por ejemplo, la MpPreference instantánea se modifica o elimina), el modo de solución de problemas finalizará y se habilitará la protección contra alteraciones en el dispositivo.

  • Los administradores locales, con los permisos adecuados, pueden cambiar las configuraciones en puntos de conexión individuales que normalmente están bloqueados por la directiva. Tener un dispositivo en modo de solución de problemas puede ser útil al diagnosticar Antivirus de Microsoft Defender escenarios de rendimiento y compatibilidad.

    • Los administradores locales no podrán desactivar Antivirus de Microsoft Defender ni desinstalarla.

    • Los administradores locales podrán configurar todas las demás opciones de seguridad del conjunto de Antivirus de Microsoft Defender (por ejemplo, protección en la nube, protección contra alteraciones).

  • Los administradores con permisos de "Administrar configuración de seguridad" tendrán acceso para activar el modo de solución de problemas.

  • Microsoft Defender para punto de conexión recopila registros y datos de investigación a lo largo del proceso de solución de problemas.

    • La instantánea de se tomará antes de MpPreference que comience el modo de solución de problemas.

    • La segunda instantánea se tomará justo antes de que expire el modo de solución de problemas.

    • También se recopilarán los registros operativos de durante el modo de solución de problemas.

    • Todos los registros e instantáneas anteriores se recopilarán y estarán disponibles para que un administrador lo recopile mediante la característica Recopilar paquete de investigación en la página del dispositivo. Tenga en cuenta que Microsoft no quitará estos datos del dispositivo hasta que un administrador los recopile.

  • Los administradores también pueden revisar los cambios en la configuración que tienen lugar durante el modo de solución de problemas en Visor de eventos en la página del dispositivo.

  • El modo de solución de problemas se desactiva automáticamente después de alcanzar el tiempo de expiración (dura 3 horas). Después de la expiración, todas las configuraciones administradas por directivas volverán a ser de solo lectura y volverán a su estado antes de establecer el modo de solución de problemas.

  • Puede tardar hasta 15 minutos desde el momento en que se envía el comando de Microsoft 365 Defender a cuando se activa en el dispositivo.

  • La notificación se enviará al usuario final cuando comience el modo de solución de problemas y cuando finalice el modo de solución de problemas. También se enviará una advertencia notificando que finalizará pronto.

  • Mientras el modo de solución de problemas está activo, detección y respuesta de puntos de conexión (EDR) no bloqueará ningún archivo, carpetas o procesos que Antivirus de Microsoft Defender haya excluido de los exámenes.

  • El principio y el final del modo de solución de problemas se identificarán en la escala de tiempo del dispositivo en la página del dispositivo.

  • Puede consultar todos los eventos de modo de solución de problemas en la búsqueda avanzada.

Nota

Los cambios de administración de directivas se aplicarán a la máquina cuando esté activo en el modo de solución de problemas. Sin embargo, los cambios no surtirán efecto hasta que expire el modo de solución de problemas. Además, las actualizaciones de Antivirus de Microsoft Defender Plataforma no se aplicarán durante el modo de solución de problemas. Las actualizaciones de la plataforma se aplicarán una vez que el modo de solución de problemas finalice con una actualización Windows.

Requisitos previos

Habilitación del modo de solución de problemas

  1. Vaya al portal de Microsoft 365 Defender (https://security.microsoft.com) e inicie sesión.

  2. Vaya a la página del dispositivo o la página del equipo del dispositivo que desea activar en el modo de solución de problemas. Seleccione Activar el modo de solución de problemas. Tenga en cuenta que esto requiere permisos de "Administrar la configuración de seguridad en Security Center" para Microsoft Defender para punto de conexión.

    Activar el modo de solución de problemas

  3. Confirme que desea activar el modo de solución de problemas para el dispositivo.

    Control flotante de configuración

  4. La página del dispositivo muestra que el dispositivo está ahora en modo de solución de problemas.

    El dispositivo está ahora en modo de solución de problemas

Consultas de búsqueda avanzadas

Estas son algunas consultas de búsqueda avanzadas pregeneradas para proporcionarle visibilidad sobre los eventos de solución de problemas que se producen en su entorno. También puede usar estas consultas para crear reglas de detección que le avisan cuando los dispositivos están en modo de solución de problemas.

Obtención de eventos de solución de problemas para un dispositivo determinado

let deviceName = "<device name>";   // update with device name
let deviceId = "<device id>";   // update with device id
search in (DeviceEvents)
(DeviceName == deviceName
) and ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project $table, Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos actualmente en modo de solución de problemas

search in (DeviceEvents)
ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(3h)
| where _tsmodeproperties.TroubleshootingStateChangeReason == "Troubleshooting mode started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId

Recuento de instancias de modo de solución de problemas por dispositivo

search in (DeviceEvents)
ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason == "Troubleshooting mode started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Recuento total

search in (DeviceEvents)
ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason == "Troubleshooting mode started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range