Risorse

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Raccogliere informazioni di diagnostica

Se è possibile riprodurre un problema, aumentare prima di tutto il livello di registrazione, eseguire il sistema per qualche tempo e quindi ripristinare il livello di registrazione predefinito.

  1. Aumentare il livello di registrazione:

    mdatp log level set --level debug

    Log level configured successfully

  2. Riprodurre il problema.

  3. Eseguire il comando seguente per eseguire il backup dei log di Defender per endpoint. I file verranno archiviati all'interno di un archivio .zip.

    sudo mdatp diagnostic create

    Questo comando stamperà anche il percorso del file del backup dopo il completamento dell'operazione:

    Diagnostic file created: <path to file>

  4. Ripristinare il livello di registrazione:

    mdatp log level set --level info

    Log level configured successfully

Problemi di installazione del log

Se si verifica un errore durante l'installazione, il programma di installazione segnalerà solo un errore generale.

Il log dettagliato verrà salvato in /var/log/microsoft/mdatp/install.log. Se si verificano problemi durante l'installazione, inviare il file in modo da poter diagnosticare la causa.

Disinstallare Defender per endpoint in Linux

Esistono diversi modi per disinstallare Defender per endpoint in Linux. Se si usa uno strumento di configurazione come Puppet, seguire le istruzioni di disinstallazione del pacchetto per lo strumento di configurazione.

Disinstallazione manuale

  • sudo yum remove mdatp per RHEL e varianti (CentOS e Oracle Linux).
  • sudo zypper remove mdatp per SLES e varianti.
  • sudo apt-get purge mdatp per sistemi Ubuntu e Debian.
  • sudo dnf remove mdatp per Mariner

Configurare dalla riga di comando

Attività importanti, ad esempio il controllo delle impostazioni del prodotto e l'attivazione di analisi su richiesta, possono essere eseguite dalla riga di comando.

Opzioni globali

Per impostazione predefinita, lo strumento da riga di comando restituisce il risultato in formato leggibile. Inoltre, lo strumento supporta anche l'output del risultato come JSON, utile per gli scenari di automazione. Per modificare l'output in JSON, passare --output json a uno dei comandi seguenti.

Comandi supportati

Nella tabella seguente sono elencati i comandi per alcuni degli scenari più comuni. Eseguire mdatp help dal terminale per visualizzare l'elenco completo dei comandi supportati.


Gruppo Scenario Comando
Configurazione Attivare/disattivare la protezione in tempo reale mdatp config real-time-protection --value [enabled\|disabled]
Configurazione Attivare/disattivare il monitoraggio del comportamento mdatp config behavior-monitoring --value [enabled\|disabled]
Configurazione Attivare/disattivare la protezione cloud mdatp config cloud --value [enabled\|disabled]
Configurazione Attivare/disattivare la diagnostica del prodotto mdatp config cloud-diagnostic --value [enabled\|disabled]
Configurazione Attivare/disattivare l'invio automatico di campioni mdatp config cloud-automatic-sample-submission --value [enabled\|disabled]
Configurazione Attivare/disattivare la modalità av passiva mdatp config passive-mode --value [enabled\|disabled]
Configurazione Aggiungere/rimuovere un'esclusione antivirus per un'estensione di file mdatp exclusion extension [add\|remove] --name [extension]
Configurazione Aggiungere/rimuovere un'esclusione antivirus per un file mdatp exclusion file [add\|remove] --path [path-to-file]
Configurazione Aggiungere/rimuovere un'esclusione antivirus per una directory mdatp exclusion folder [add\|remove] --path [path-to-directory]
Configurazione Aggiungere/rimuovere un'esclusione antivirus per un processo mdatp exclusion process [add\|remove] --path [path-to-process]

mdatp exclusion process [add\|remove] --name [process-name]
Configurazione Elencare tutte le esclusioni antivirus mdatp exclusion list
Configurazione Aggiungere un nome di minaccia all'elenco consentito mdatp threat allowed add --name [threat-name]
Configurazione Rimuovere un nome di minaccia dall'elenco consentito mdatp threat allowed remove --name [threat-name]
Configurazione Elencare tutti i nomi di minaccia consentiti mdatp threat allowed list
Configurazione Attivare la protezione pua mdatp threat policy set --type potentially_unwanted_application --action block
Configurazione Disattivare la protezione pua mdatp threat policy set --type potentially_unwanted_application --action off
Configurazione Attivare la modalità di controllo per la protezione pua mdatp threat policy set --type potentially_unwanted_application --action audit
Configurazione Configurare il grado di parallelismo per le analisi su richiesta mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Configurazione Attivare/disattivare le analisi dopo gli aggiornamenti dell'intelligence per la sicurezza mdatp config scan-after-definition-update --value [enabled/disabled]
Configurazione Attivare/disattivare l'analisi degli archivi (solo analisi su richiesta) mdatp config scan-archives --value [enabled/disabled]
Configurazione Attivare/disattivare il calcolo dell'hash dei file mdatp config enable-file-hash-computation --value [enabled/disabled]
Diagnostica Modificare il livello di log mdatp log level set --level verbose [error|warning|info|verbose]
Diagnostica Generare log di diagnostica mdatp diagnostic create --path [directory]
Diagnostica Limiti di dimensione per i log dei prodotti conservati mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB]
Sanità Controllare l'integrità del prodotto mdatp health
Protezione Analizzare un percorso mdatp scan custom --path [path] [--ignore-exclusions]
Protezione Eseguire un'analisi rapida mdatp scan quick
Protezione Eseguire un'analisi completa mdatp scan full
Protezione Annullare un'analisi su richiesta in corso mdatp scan cancel
Protezione Richiedere un aggiornamento dell'intelligence per la sicurezza mdatp definitions update
Cronologia protezione Stampare la cronologia di protezione completa mdatp threat list
Cronologia protezione Ottenere i dettagli sulle minacce mdatp threat get --id [threat-id]
Gestione della quarantena Elencare tutti i file in quarantena mdatp threat quarantine list
Gestione della quarantena Rimuovere tutti i file dalla quarantena mdatp threat quarantine remove-all
Gestione della quarantena Aggiungere un file rilevato come minaccia alla quarantena mdatp threat quarantine add --id [threat-id]
Gestione della quarantena Rimuovere un file rilevato come minaccia dalla quarantena mdatp threat quarantine remove --id [threat-id]
Gestione della quarantena Ripristinare un file dalla quarantena. Disponibile in Defender per endpoint versione inferiore a 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Gestione della quarantena Ripristinare un file dalla quarantena con l'ID minaccia. Disponibile in Defender per endpoint versione 101.23092.0012 o successiva. mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder]
Gestione della quarantena Ripristinare un file dalla quarantena con Threat Original Path. Disponibile in Defender per endpoint versione 101.23092.0012 o successiva. mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Rilevamento e risposta di endpoint Impostare l'anteprima anticipata mdatp edr early-preview [enabled\|disabled]
Rilevamento e risposta di endpoint Impostare group-id mdatp edr group-ids --group-id [group-id]
Rilevamento e risposta di endpoint Impostare/rimuovere il tag, supportato solo GROUP mdatp edr tag set --name GROUP --value [tag]
Rilevamento e risposta di endpoint Esclusioni elenco (radice) mdatp edr exclusion list [processes|paths|extensions|all]

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.