Modo de resolução de problemas no Microsoft Defender para Endpoint no macOS

Artigo
04/26/2024

Aplica-se a:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Este artigo descreve como ativar o modo de resolução de problemas no Microsoft Defender para Endpoint no macOS para que os administradores possam resolver problemas de várias funcionalidades do Antivírus Microsoft Defender temporariamente, mesmo que as políticas organizacionais giram os dispositivos.

Por exemplo, se a proteção contra adulteração estiver ativada, determinadas definições não podem ser modificadas ou desativadas, mas pode utilizar o modo de resolução de problemas no dispositivo para editar essas definições temporariamente.

O modo de resolução de problemas está desativado por predefinição e requer que o ative para um dispositivo (e/ou grupo de dispositivos) durante um período de tempo limitado. O modo de resolução de problemas é exclusivamente uma funcionalidade apenas para empresas e requer acesso ao portal Microsoft Defender.

O que precisa de saber antes de começar

Durante o modo de resolução de problemas, pode:

Utilize Microsoft Defender para Endpoint na resolução de problemas funcionais do macOS /compatibilidade de aplicações (falsos positivos).

Os administradores locais, com as permissões adequadas, podem alterar as seguintes configurações bloqueadas por políticas em pontos finais individuais:

Definição	Ativar	Desativar/Remover
Proteção Real-Time/Modo passivo/A Pedido	`mdatp config real-time-protection --value enabled`	`mdatp config real-time-protection --value disabled`
Proteção de Rede	`mdatp config network-protection enforcement-level --value block`	`mdatp config network-protection enforcement-level --value disabled`
realTimeProtectionStatistics	`mdatp config real-time-protection-statistics --value enabled`	`mdatp config real-time-protection-statistics --value disabled`
etiquetas	`mdatp edr tag set --name GROUP --value [name]`	`mdatp edr tag remove --tag-name [name]`
groupIds	`mdatp edr group-ids --group-id [group]`
DLP de ponto final	`mdatp config data_loss_prevention --value enabled`	`mdatp config data_loss_prevention --value disabled`

Durante o modo de resolução de problemas, não pode:

Desative a proteção contra adulteração para Microsoft Defender para Endpoint no macOS.
Desinstale o Microsoft Defender para Endpoint no macOS.

Pré-requisitos

Versão suportada do macOS para Microsoft Defender para Endpoint.
Microsoft Defender para Endpoint tem de estar inscrito no inquilino e ativo no dispositivo.
Permissões para "Gerir definições de segurança no Centro de Segurança" no Microsoft Defender para Endpoint.
Versão da Atualização da Plataforma: 101.23122.0005 ou mais recente.

Ativar o modo de resolução de problemas no macOS

Aceda ao portal Microsoft Defender e inicie sessão.
Navegue para a página do dispositivo que pretende ativar o modo de resolução de problemas. Em seguida, selecione as reticências(...) e selecione Ativar modo de resolução de problemas.

Nota

A opção Ativar o modo de resolução de problemas está disponível em todos os dispositivos, mesmo que o dispositivo não cumpra os pré-requisitos para o modo de resolução de problemas.
Leia as informações apresentadas no painel e, quando estiver pronto, selecione Submeter para confirmar que pretende ativar o modo de resolução de problemas para esse dispositivo.
Verá Que poderá demorar alguns minutos até que a alteração produza efeito no texto que está a ser apresentado. Durante este período, quando selecionar novamente as reticências, verá que o modo Ativar Resolução de Problemas está pendente .
Depois de concluída, a página do dispositivo mostra que o dispositivo está agora no modo de resolução de problemas.

Se o utilizador final tiver sessão iniciada no dispositivo macOS, verá o seguinte texto:

O modo de resolução de problemas foi iniciado. Este modo permite-lhe alterar temporariamente as definições geridas pelo administrador. Expira às YEAR-MM-DDTHH:MM:SSZ.

Selecione OK.
Depois de ativada, pode testar as diferentes opções da linha de comandos que são toggláveis no modo de resolução de problemas (Modo TS).

Por exemplo, quando utiliza mdatp config real-time-protection --value disabled o comando para desativar a proteção em tempo real, ser-lhe-á pedido que introduza a sua palavra-passe. Selecione OK depois de introduzir a sua palavra-passe.

O relatório de saída semelhante à seguinte captura de ecrã será apresentado na execução do estado de funcionamento do mdatp com real_time_protection_enabled como "falso" e tamper_protection como "bloco".

Consultas de investigação avançadas para deteção

Existem algumas consultas de investigação avançadas pré-criadas para lhe dar visibilidade sobre os eventos de resolução de problemas que estão a ocorrer no seu ambiente. Pode utilizar estas consultas para criar regras de deteção para gerar alertas quando os dispositivos estão no modo de resolução de problemas.

Obter eventos de resolução de problemas para um dispositivo específico

Pode utilizar a seguinte consulta para procurar ou deviceIddeviceName ao comentar as respetivas linhas.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos atualmente no modo de resolução de problemas

Pode encontrar os dispositivos que estão atualmente no modo de resolução de problemas com a seguinte consulta:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Contagem de instâncias do modo de resolução de problemas por dispositivo

Pode encontrar o número de instâncias do modo de resolução de problemas para um dispositivo com a seguinte consulta:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Contagem total

Pode saber a contagem total de instâncias do modo de resolução de problemas com a seguinte consulta:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Conteúdo recomendado

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.

Partilhar via