Feilsøkingsmodus i Microsoft Defender for endepunkt på macOS
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt på macOS
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Denne artikkelen beskriver hvordan du aktiverer feilsøkingsmodus i Microsoft Defender for endepunkt på macOS, slik at administratorer kan feilsøke ulike Microsoft Defender antivirusfunksjoner midlertidig, selv om organisasjonspolicyer administrerer enhetene.
Hvis for eksempel manipuleringsbeskyttelsen er aktivert, kan visse innstillinger ikke endres eller deaktiveres, men du kan bruke feilsøkingsmodus på enheten til å redigere disse innstillingene midlertidig.
Feilsøkingsmodus er deaktivert som standard, og krever at du aktiverer den for en enhet (og/eller gruppe enheter) i en begrenset periode. Feilsøkingsmodus er utelukkende en funksjon som bare gjelder for bedrifter, og krever tilgang til Microsoft Defender portal.
Hva trenger du å vite før du begynner
I feilsøkingsmodus kan du:
Bruk Microsoft Defender for endepunkt på macOS funksjonell feilsøking /programkompatibilitet (falske positiver).
Lokale administratorer, med riktige tillatelser, kan endre følgende policylåste konfigurasjoner på individuelle endepunkter:
Innstilling Aktiverer Deaktiver/fjern Real-Time Protection/ Passiv modus / Ved behov mdatp config real-time-protection --value enabledmdatp config real-time-protection --value disabledNettverksbeskyttelse mdatp config network-protection enforcement-level --value blockmdatp config network-protection enforcement-level --value disabledrealTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabledmdatp config real-time-protection-statistics --value disabledTags mdatp edr tag set --name GROUP --value [name]mdatp edr tag remove --tag-name [name]groupIds mdatp edr group-ids --group-id [group]DLP for endepunkt mdatp config data_loss_prevention --value enabledmdatp config data_loss_prevention --value disabled
I feilsøkingsmodus kan du ikke:
- Deaktiver manipuleringsbeskyttelse for Microsoft Defender for endepunkt på macOS.
- Avinstaller Microsoft Defender for endepunkt på macOS.
Forutsetninger
- Støttet versjon av macOS for Microsoft Defender for endepunkt.
- Microsoft Defender for endepunkt må være tenantregistrert og aktiv på enheten.
- Tillatelser for «Administrer sikkerhetsinnstillinger i Sikkerhetssenter» i Microsoft Defender for endepunkt.
- Plattformoppdateringsversjon: 101.23122.0005 eller nyere.
Aktiver feilsøkingsmodus på macOS
Gå til Microsoft Defender-portalen, og logg på.
Gå til enhetssiden du vil slå på feilsøkingsmodus. Velg deretter ellipsen(...), og velg Aktiver feilsøkingsmodus.
Obs!
Alternativet Aktiver feilsøkingsmodus er tilgjengelig på alle enheter, selv om enheten ikke oppfyller forutsetningene for feilsøkingsmodus.
Les informasjonen som vises i ruten, og når du er klar, velger du Send for å bekrefte at du vil aktivere feilsøkingsmodus for enheten.
Det kan ta noen minutter før endringen trer i kraft i tekst som vises. I denne perioden, når du velger ellipsen på nytt, ser du at alternativet Aktiver feilsøking venter nedtonet.
Når den er fullført, viser enhetssiden at enheten nå er i feilsøkingsmodus.
Hvis sluttbrukeren er logget på macOS-enheten, ser de følgende tekst:
Feilsøkingsmodus har startet. Med denne modusen kan du midlertidig endre innstillingene som administreres av administratoren. Utløper ved YEAR-MM-DDTHH:MM:SSZ.
Velg OK.
Når dette er aktivert, kan du teste de ulike kommandolinjealternativene som kan veksles i feilsøkingsmodus (TS-modus).
Når du for eksempel bruker
mdatp config real-time-protection --value disabledkommandoen til å deaktivere sanntidsbeskyttelse, blir du bedt om å skrive inn passordet. Velg OK når du har angitt passordet.
Utdatarapporten som ligner på følgende skjermbilde, vises på kjørende mdatp-tilstand med
real_time_protection_enabled«usann» ogtamper_protectionsom «blokk».
Avanserte jaktspørringer for gjenkjenning
Det finnes noen forhåndsbygde avanserte jaktspørringer for å gi deg innsyn i feilsøkingshendelsene som forekommer i miljøet ditt. Du kan bruke disse spørringene til å opprette gjenkjenningsregler for å generere varsler når enheter er i feilsøkingsmodus.
Få feilsøkingshendelser for en bestemt enhet
Du kan bruke følgende spørring til å søke etter deviceId eller deviceName ved å kommentere de respektive linjene.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Enheter som for øyeblikket er i feilsøkingsmodus
Du finner enhetene som for øyeblikket er i feilsøkingsmodus ved hjelp av følgende spørring:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Antall forekomster av feilsøkingsmodus etter enhet
Du finner antall forekomster av feilsøkingsmodus for en enhet ved hjelp av følgende spørring:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Totalt antall
Du kan vite totalt antall forekomster av feilsøkingsmodus ved hjelp av følgende spørring:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Anbefalt innhold
- Microsoft Defender XDR for Endpoint på Mac
- Microsoft Defender XDR for endepunktintegrasjon med Microsoft Defender XDR for Skyapper
- Bli kjent med de innovative funksjonene i Microsoft Edge
- Beskytt nettverket
- Aktiver nettverksbeskyttelse
- Webbeskyttelse
- Opprett indikatorer
- Filtrering av nettinnhold
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for