Planifier des analyses avec Microsoft Defender pour point de terminaison sur macOS

  • Article

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Planifier une analyse intégrée pour Microsoft Defender pour point de terminaison sur macOS

Bien que vous puissiez démarrer une analyse des menaces à tout moment avec Microsoft Defender pour point de terminaison, votre entreprise peut tirer parti des analyses planifiées ou chronomodées. Par exemple, vous pouvez planifier l’exécution d’une analyse au début de chaque jour ou semaine.

Il existe trois types d’analyses planifiées configurables : les analyses horaires, quotidiennes et hebdomadaires. Les analyses planifiées toutes les heures et tous les jours sont toujours exécutées sous forme d’analyses rapides, les analyses hebdomadaires peuvent être configurées pour être des analyses rapides ou complètes. Il est possible d’avoir les trois types d’analyses planifiées en même temps. Consultez les exemples ci-dessous.

Configuration requise:

  • Version de mise à jour de la plateforme : 101.23122.0005 ou version ultérieure

Planifier une analyse avec Microsoft Defender pour point de terminaison sur macOS

Vous pouvez créer une analyse planifiée pour votre macOS, qui est intégrée à Microsoft Defender pour point de terminaison sur macOS.

Pour plus d’informations sur le format de fichier .plist utilisé ici, voir About Information Property List Files sur le site web officiel des développeurs Apple.

L’exemple suivant montre la configuration quotidienne et/ou hebdomadaire de l’analyse planifiée sur macOS.

Conseil

Les planifications sont basées sur le fuseau horaire local de l’appareil.

Paramètre Les valeurs acceptables pour ce paramètre sont les suivantes :
scheduledScan activé ou désactivé
scanType rapide ou complète
ignoreExclusions true ou false
lowPriorityScheduledScan true ou false
dayOfWeek La plage est comprise entre 0 et 8.
- 0 : Tous les jours
- 1 : Dimanche
- 2 : lundi
- 3 : Mardi
- 4 : Mercredi
- 5 : Jeudi
- 6 : Vendredi
- 7 : Samedi
- 8 : Jamais
Timeofday Spécifie l’heure de la journée, en tant que nombre de minutes après minuit, pour effectuer une analyse planifiée. L’heure fait référence à l’heure locale sur l’ordinateur. Si vous ne spécifiez pas de valeur pour ce paramètre, une analyse planifiée s’exécute à une heure par défaut de deux heures après minuit.
interval 0 (jamais), toutes les 1 (heure) à 24 heures (1 analyse par jour)
randomScanStartTime Applicable uniquement aux analyses rapides quotidiennes ou aux analyses rapides/complètes hebdomadaires. Aléatoirez l’heure de début de l’analyse en fonction du nombre d’heures spécifié.
Par exemple, si une analyse est planifiée pour 14 h et que randomScanStartTime est défini sur 2, l’analyse commence à une heure aléatoire entre 14 h et 16 h.

Votre analyse planifiée s’exécute à la date, à l’heure et à la fréquence que vous avez définies dans votre plist.

Exemple 1 : Planifier une analyse rapide quotidienne et une analyse complète hebdomadaire à l’aide d’une liste plist

Dans l’exemple suivant, la configuration de l’analyse rapide quotidienne est définie pour s’exécuter à 885 minutes après minuit (14 h 45).
La configuration hebdomadaire est définie pour exécuter une analyse complète le mercredi à 880 minutes après minuit (14h40). Et il est configuré pour ignorer les exclusions et exécuter une analyse de faible priorité.

Le code suivant montre le schéma que vous devez utiliser pour planifier des analyses en fonction des exigences ci-dessus.

  1. Ouvrez un éditeur de texte et utilisez cet exemple comme guide pour votre propre fichier d’analyse planifiée.
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
    <key>scheduledScan</key> 
    <dict> 
        <key>ignoreExclusions</key> 
        <true/> 
        <key>lowPriorityScheduledScan</key> 
        <true/> 
        <key>dailyConfiguration</key> 
        <dict> 
            <key>timeOfDay</key> 
            <integer>885</integer> 
        </dict> 
        <key>weeklyConfiguration</key> 
        <dict> 
            <key>dayOfWeek</key> 
            <integer>4</integer> 
            <key>timeOfDay</key> 
            <integer>880</integer> 
            <key>scanType</key> 
            <string>full</string> 
        </dict> 
    </dict> 
</dict> 
</plist>
  1. Enregistrez le fichier sous com.microsoft.wdav.plist.

Exemple 2 : Planifier une analyse rapide toutes les heures, une analyse rapide quotidienne et une analyse complète hebdomadaire à l’aide d’une liste plist

Dans l’exemple suivant, une analyse rapide toutes les heures s’exécute toutes les 6 heures, une configuration d’analyse rapide quotidienne est définie pour s’exécuter à 885 minutes après minuit (14 h 45), et une analyse complète hebdomadaire s’exécute le mercredi à 880 minutes après minuit (14 h 40).

  1. Ouvrez un éditeur de texte et utilisez cet exemple.
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</plist>
  1. Enregistrez le fichier sous com.microsoft.wdav.plist.

Option 3 : Configurer des analyses planifiées via l’outil CLI

Pour activer la fonctionnalité d’analyse planifiée :

Version Command
Version 101.23122.* ou ultérieure sudo mdatp config scheduled-scan settings feature --value enabled

Pour planifier des analyses rapides toutes les heures :

Version Command
Version 101.23122.* ou ultérieure sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\>

Capture d’écran de l’analyse horaire planifiée.

Pour planifier des analyses rapides quotidiennes :

Version Command
Version 101.23122.* ou ultérieure sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\>

Capture d’écran de l’analyse rapide quotidienne planifiée.

Pour planifier des analyses hebdomadaires :

Version Command
Version 101.23122.* ou ultérieure sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\>

Capture d’écran de l’analyse hebdomadaire planifiée.

Pour les autres options de configuration :

  • Pour case activée la mise à jour des définitions avant les analyses planifiées :

    sudo mdatp config scheduled-scan settings check-for-definitions --value true

  • Pour utiliser des threads de faible priorité pour l’analyse planifiée :

    sudo mdatp config scheduled-scan settings low-priority --value true

Vérifier que l’analyse planifiée a été exécutée

Utilisez la commande suivante :

mdatp scan list

Capture d’écran de la planification exécutée.

\<snip\>

Capture d’écran de la planification exécutée avec succès.

Importante

Les analyses planifiées ne s’exécutent pas à l’heure planifiée pendant que l’appareil est en veille. Au lieu de cela, les analyses planifiées s’exécutent lorsque l’appareil reprend le mode veille. Si l’appareil est éteint, l’analyse s’exécute à l’heure d’analyse planifiée suivante.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.