Introdução ao modo de solução de problemas no Microsoft Defender para Ponto de Extremidade

Aplica-se a:

• Microsoft Defender para Ponto de Extremidade
• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O modo de solução de problemas no Microsoft Defender para Ponto de Extremidade permite que os administradores resolvam vários recursos Microsoft Defender Antivírus, mesmo que os dispositivos sejam gerenciados por políticas organizacionais. Por exemplo, se a proteção contra adulteração estiver habilitada, determinadas configurações não poderão ser modificadas ou desativadas, mas você poderá usar o modo de solução de problemas em um dispositivo para editar essas configurações temporariamente.

O modo de solução de problemas é desabilitado por padrão e exige que você o ative para um dispositivo (e/ou grupo de dispositivos) por um tempo limitado. O modo de solução de problemas é exclusivamente um recurso somente empresarial e requer Microsoft Defender acesso ao portal.

Dica

• Durante o modo de solução de problemas, você pode usar o comando Set-MPPreference -DisableTamperProtection $true PowerShell em dispositivos Windows.
• Para marcar o estado da proteção contra adulteração, você pode usar o cmdlet Get-MpComputerStatus PowerShell. Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de true significa que a proteção contra adulteração está habilitada.) .

Do que você precisa saber para começar?

Durante o modo de solução de problemas, você pode usar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell ou, em sistemas operacionais cliente, o aplicativo da Central de Segurança para desabilitar temporariamente a proteção contra adulteração em seu dispositivo e fazer as alterações de configuração necessárias.

• Use o modo de solução de problemas para desabilitar/alterar a configuração de proteção contra adulteração para executar:

  • Microsoft Defender solução de problemas funcionais do Antivírus /compatibilidade do aplicativo (blocos de aplicativos false positivos).

• Os administradores locais, com permissões apropriadas, podem alterar as configurações em pontos de extremidade individuais que geralmente são bloqueados pela política. Ter um dispositivo no modo de solução de problemas pode ser útil ao diagnosticar Microsoft Defender cenários de desempenho e compatibilidade do Antivírus.

  • Os administradores locais não podem desativar Microsoft Defender Antivírus ou desinstalá-lo.

  • Os administradores locais podem configurar todas as outras configurações de segurança no pacote antivírus Microsoft Defender (por exemplo, proteção de nuvem, proteção contra adulteração).

• Administradores com permissões "Gerenciar configurações de segurança" têm acesso para ativar o modo de solução de problemas.

• Microsoft Defender para Ponto de Extremidade coleta logs e dados de investigação durante todo o processo de solução de problemas.

  • Uma instantâneo de é tomada antes do MpPreference modo de solução de problemas começar.

  • Uma segunda instantâneo é tomada pouco antes do modo de solução de problemas expirar.

  • Logs operacionais de durante o modo de solução de problemas também são coletados.

  • Os logs e instantâneos são coletados e estão disponíveis para um administrador coletar usando o recurso Coletar pacote de investigação na página do dispositivo. A Microsoft não remove esses dados do dispositivo até que um administrador os colete.

• Os administradores também podem examinar as alterações nas configurações que ocorrem durante o modo de solução de problemas no Visualizador de Eventos na página do dispositivo.

• O modo de solução de problemas é desativado automaticamente depois de atingir o tempo de validade (ele dura 4 horas). Após a expiração, todas as configurações gerenciadas por políticas tornam-se somente leitura novamente e reverter de volta à forma como o dispositivo foi configurado antes de habilitar o modo de solução de problemas.

• Pode levar até 15 minutos a partir do momento em que o comando é enviado de Microsoft Defender XDR para quando ele se torna ativo no dispositivo.

• As notificações são enviadas ao usuário quando o modo de solução de problemas começa e quando o modo de solução de problemas termina. Um aviso também é enviado para indicar que o modo de solução de problemas será encerrado em breve.

• O início e o término do modo de solução de problemas são identificados na Linha do Tempo do Dispositivo na página do dispositivo.

• Você pode consultar todos os eventos do modo de solução de problemas na caça avançada.

Observação

As alterações de gerenciamento de políticas são aplicadas ao dispositivo quando ele está ativamente no modo de solução de problemas. No entanto, as alterações não entrarão em vigor até que o modo de solução de problemas expire. Além disso, Microsoft Defender as atualizações da Plataforma Antivírus não são aplicadas durante o modo de solução de problemas. As atualizações de plataforma são aplicadas quando o modo de solução de problemas termina com uma atualização do Windows.

Pré-requisitos

• Um dispositivo que executa Windows 10 (versão 19044.1618 ou posterior), Windows 11, Windows Server 2019 ou Windows Server 2022.

  Semestre/Redstone	Versão do SO	Lançar
  21H2/SV1	>=22000.593	KB5011563: Catálogo de Atualizações da Microsoft
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043.1620	KB5011543: Catálogo de Atualizações da Microsoft
  Windows Server 2022	>=20348.617	KB5011558: Catálogo de Atualizações da Microsoft
  Windows Server 2019 (RS5)	>=17763.2746	KB5011551: Catálogo de Atualizações da Microsoft

• O modo de solução de problemas também está disponível para computadores que executam a solução moderna e unificada para Windows Server 2012 R2 e Windows Server 2016. Antes de usar o modo de solução de problemas, verifique se todos os seguintes componentes estão atualizados:

  • Versão 10.8049.22439.1084 do Sense ou posterior (KB5005292: Catálogo de Atualizações da Microsoft)

  • Microsoft Defender Antivírus – Plataforma: 4.18.2207.7 ou posterior (KB4052623: Catálogo de Atualizações da Microsoft)

  • Microsoft Defender Antivírus – Mecanismo: 1.1.19500.2 ou posterior (KB2267602: Catálogo de Atualizações da Microsoft)

• Para que o modo de solução de problemas seja aplicado, Microsoft Defender para Ponto de Extremidade deve ser registrado pelo locatário e ativo no dispositivo.

• O dispositivo deve estar executando ativamente Microsoft Defender Antivírus, versão 4.18.2203 ou posterior.

Habilitar o modo de solução de problemas

1. Acesse o portal Microsoft Defender (https://security.microsoft.com) e entre.

2. Navegue até a página/máquina do dispositivo para o dispositivo que você deseja ativar o modo de solução de problemas. Selecione Ativar o modo de solução de problemas. Você deve ter permissões "Gerenciar configurações de segurança na Central de Segurança" para Microsoft Defender para Ponto de Extremidade.

   

Observação

A opção Ativar o modo de solução de problemas está disponível em todos os dispositivos, mesmo que o dispositivo não atenda aos pré-requisitos para o modo de solução de problemas.

3. Confirme se deseja ativar o modo de solução de problemas para o dispositivo.

   

4. A página do dispositivo mostra que o dispositivo agora está no modo de solução de problemas.

   

Consultas de caça avançadas

Aqui estão algumas consultas de caça avançadas predefinidas para dar visibilidade aos eventos de solução de problemas que estão ocorrendo em seu ambiente. Você também pode usar essas consultas para criar regras de detecção para gerar alertas quando os dispositivos estão no modo de solução de problemas.

Obter eventos de solução de problemas para um determinado dispositivo

Pesquisa por deviceId ou deviceName comentando as respectivas linhas.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos atualmente no modo de solução de problemas

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Contagem de instâncias de modo de solução de problemas por dispositivo

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Contagem total

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Artigos relacionados

Dica

Dica de desempenho Devido a uma variedade de fatores, Microsoft Defender Antivírus, como outros softwares antivírus, podem causar problemas de desempenho em dispositivos de ponto de extremidade. Em alguns casos, talvez seja necessário ajustar o desempenho de Microsoft Defender Antivírus para aliviar esses problemas de desempenho. O analisador de desempenho da Microsoft é uma ferramenta de linha de comando do PowerShell que ajuda a determinar quais arquivos, caminhos de arquivo, processos e extensões de arquivo podem estar causando problemas de desempenho; alguns exemplos são:

• Principais caminhos que afetam o tempo de verificação
• Principais arquivos que afetam o tempo de verificação
• Principais processos que afetam o tempo de verificação
• Principais extensões de arquivo que afetam o tempo de verificação
• Combinações – por exemplo:
  • arquivos superiores por extensão
  • caminhos superiores por extensão
  • principais processos por caminho
  • verificações superiores por arquivo
  • verificações superiores por arquivo por processo

Você pode usar as informações coletadas usando o analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de correção. Consulte: Analisador de desempenho para Microsoft Defender Antivírus.

• Cenários do modo de solução de problemas
• Proteger as configurações de segurança com proteção contra adulteração

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.