Ressources
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Collecter des informations de diagnostic
Si vous pouvez reproduire un problème, commencez par augmenter le niveau de journalisation, exécutez le système pendant un certain temps, puis restaurez le niveau de journalisation par défaut.
Augmenter le niveau de journalisation :
mdatp log level set --level debugLog level configured successfullyReproduisez le problème.
Exécutez la commande suivante pour sauvegarder les journaux d’activité de Defender pour point de terminaison. Les fichiers seront stockés dans une archive .zip.
sudo mdatp diagnostic createCette commande affiche également le chemin d’accès du fichier à la sauvegarde une fois l’opération réussie :
Diagnostic file created: <path to file>Niveau de journalisation de restauration :
mdatp log level set --level infoLog level configured successfully
Problèmes d’installation des journaux
Si une erreur se produit pendant l’installation, le programme d’installation signale uniquement une défaillance générale.
Le journal détaillé sera enregistré dans /var/log/microsoft/mdatp/install.log.
Si vous rencontrez des problèmes lors de l’installation, envoyez-nous ce fichier afin que nous puissions vous aider à diagnostiquer la cause.
Désinstaller Defender pour point de terminaison sur Linux
Il existe plusieurs façons de désinstaller Defender pour point de terminaison sur Linux. Si vous utilisez un outil de configuration tel que Puppet, suivez les instructions de désinstallation du package pour l’outil de configuration.
Désinstallation manuelle
sudo yum remove mdatppour RHEL et les variantes (CentOS et Oracle Linux).sudo zypper remove mdatppour SLES et les variantes.sudo apt-get purge mdatppour les systèmes Ubuntu et Debian.sudo dnf remove mdatppour Mariner
Configurer à partir de la ligne de commande
Les tâches importantes, telles que le contrôle des paramètres du produit et le déclenchement d’analyses à la demande, peuvent être effectuées à partir de la ligne de commande.
Options globales
Par défaut, l’outil en ligne de commande génère le résultat dans un format lisible par l’utilisateur. En outre, l’outil prend également en charge la sortie du résultat au format JSON, ce qui est utile pour les scénarios d’automatisation. Pour modifier la sortie au format JSON, passez --output json à l’une des commandes ci-dessous.
Commandes prises en charge
Le tableau suivant répertorie les commandes pour certains des scénarios les plus courants. Exécutez mdatp help à partir du terminal pour afficher la liste complète des commandes prises en charge.
| Groupe | Scénario | Command |
|---|---|---|
| Configuration | Activer/désactiver la protection en temps réel | mdatp config real-time-protection --value [enabled\|disabled] |
| Configuration | Activer/désactiver la surveillance du comportement | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Configuration | Activer/désactiver la protection cloud | mdatp config cloud --value [enabled\|disabled] |
| Configuration | Activer/désactiver le diagnostics de produit | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Configuration | Activer/désactiver l’envoi automatique d’exemples | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Configuration | Activer/désactiver le mode passif AV | mdatp config passive-mode --value [enabled\|disabled] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour une extension de fichier | mdatp exclusion extension [add\|remove] --name [extension] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour un fichier | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour un répertoire | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour un processus | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Configuration | Répertorier toutes les exclusions antivirus | mdatp exclusion list |
| Configuration | Ajouter un nom de menace à la liste autorisée | mdatp threat allowed add --name [threat-name] |
| Configuration | Supprimer un nom de menace de la liste autorisée | mdatp threat allowed remove --name [threat-name] |
| Configuration | Répertorier tous les noms de menaces autorisés | mdatp threat allowed list |
| Configuration | Activer la protection puA | mdatp threat policy set --type potentially_unwanted_application --action block |
| Configuration | Désactiver la protection puA | mdatp threat policy set --type potentially_unwanted_application --action off |
| Configuration | Activer le mode d’audit pour la protection puA | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Configuration | Configurer le degré de parallélisme pour les analyses à la demande | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Configuration | Activer/désactiver les analyses après les mises à jour du renseignement de sécurité | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Configuration | Activer/désactiver l’analyse des archives (analyses à la demande uniquement) | mdatp config scan-archives --value [enabled/disabled] |
| Configuration | Activer/désactiver le calcul de hachage de fichier | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Diagnostics | Modifier le niveau du journal | mdatp log level set --level verbose [error|warning|info|verbose] |
| Diagnostics | Générer des journaux de diagnostic | mdatp diagnostic create --path [directory] |
| Diagnostics | Limites de taille pour les journaux de produits conservés | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Intégrité | Vérifier l’intégrité du produit | mdatp health |
| Protection | Analyser un chemin d’accès | mdatp scan custom --path [path] [--ignore-exclusions] |
| Protection | Effectuer une analyse rapide | mdatp scan quick |
| Protection | Effectuer une analyse complète | mdatp scan full |
| Protection | Annuler une analyse à la demande en cours | mdatp scan cancel |
| Protection | Demander une mise à jour du renseignement de sécurité | mdatp definitions update |
| Historique de protection | Imprimer l’historique de protection complet | mdatp threat list |
| Historique de protection | Obtenir les détails des menaces | mdatp threat get --id [threat-id] |
| Gestion de la quarantaine | Répertorier tous les fichiers mis en quarantaine | mdatp threat quarantine list |
| Gestion de la quarantaine | Supprimer tous les fichiers de la mise en quarantaine | mdatp threat quarantine remove-all |
| Gestion de la quarantaine | Ajouter un fichier détecté comme une menace à la mise en quarantaine | mdatp threat quarantine add --id [threat-id] |
| Gestion de la quarantaine | Supprimer de la quarantaine un fichier détecté comme une menace | mdatp threat quarantine remove --id [threat-id] |
| Gestion de la quarantaine | Restaurer un fichier à partir de la mise en quarantaine. Disponible dans Defender pour point de terminaison version antérieure à 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Gestion de la quarantaine | Restaurez un fichier à partir de la quarantaine avec l’ID de menace. Disponible dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure. | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Gestion de la quarantaine | Restaurez un fichier à partir de la quarantaine avec le chemin d’origine de la menace. Disponible dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure. | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Détection et réponse du point de terminaison | Définir la préversion anticipée | mdatp edr early-preview [enabled\|disabled] |
| Détection et réponse du point de terminaison | Définir group-id | mdatp edr group-ids --group-id [group-id] |
| Détection et réponse du point de terminaison | Définir/supprimer une balise, uniquement GROUP pris en charge |
mdatp edr tag set --name GROUP --value [tag] |
| Détection et réponse du point de terminaison | Lister les exclusions (racine) | mdatp edr exclusion list [processes|paths|extensions|all] |
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour