Планирование проверок с помощью Microsoft Defender для конечной точки в macOS
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Планирование встроенного сканирования для Microsoft Defender для конечной точки в macOS
Хотя вы можете начать проверку на угрозы в любое время с помощью Microsoft Defender для конечной точки, ваше предприятие может извлечь выгоду из запланированных или временных проверок. Например, можно запланировать сканирование в начале каждого рабочего дня или недели.
Существует три типа запланированных проверок, которые можно настроить: ежечасные, ежедневные и еженедельные проверки. Ежечасные и ежедневные запланированные проверки всегда выполняются как быстрые проверки. Еженедельные проверки можно настроить как быстрые, так и полные проверки. Можно одновременно выполнять все три типа запланированных проверок. См. примеры ниже.
Предварительные требования:
- Версия обновления платформы: 101.23122.0005 или более позднюю
Планирование сканирования с помощью Microsoft Defender для конечной точки в macOS
Вы можете создать запланированное сканирование для macOS, встроенное в Microsoft Defender для конечной точки в macOS.
Дополнительные сведения о формате PLIST , используемом здесь, см. в разделе Сведения о файлах списка свойств на официальном веб-сайте разработчика Apple.
В следующем примере показана ежедневная и (или) еженедельная конфигурация для запланированной проверки в macOS.
Совет
Расписания основаны на локальном часовом поясе устройства.
| Параметр | Допустимые значения для этого параметра: |
|---|---|
| scheduledScan | включено или отключено |
| scanType | быстрый или полный |
| ignoreExclusions | true или false |
| lowPriorityScheduledScan | true или false |
| dayOfWeek | Диапазон составляет от 0 до 8. - 0: Каждый день - 1: воскресенье - 2: понедельник - 3: вторник - 4: среда - 5: четверг - 6: пятница - 7: суббота - 8: Никогда |
| Timeofday | Указывает время суток в виде количества минут после полуночи для выполнения запланированной проверки. Время относится к местному времени на компьютере. Если не указать значение для этого параметра, запланированная проверка выполняется по умолчанию в два часа после полуночи. |
| interval | От 0 (никогда), каждые 1 (час) до 24 (часы, 1 сканирование в день) |
| randomizeScanStartTime | Применимо только для ежедневных быстрых проверок или еженедельных быстрых и полных проверок. Случайный выбор времени начала сканирования до указанного количества часов. Например, если сканирование запланировано на 14:00, а randomizeScanStartTime имеет значение 2, сканирование начинается в случайное время с 14:00 до 16:00. |
Запланированное сканирование выполняется по дате, времени и частоте, определенной в списке.
Пример 1. Планирование ежедневной быстрой проверки и еженедельной полной проверки с помощью plist
В следующем примере настройка ежедневной быстрой проверки выполняется через 885 минут после полуночи (14:45).
Еженедельная конфигурация настроена для запуска полной проверки в среду в 880 минут после полуночи (14:40).
Кроме того, настроено игнорировать исключения и выполнять проверку с низким приоритетом.
В следующем коде показана схема, используемая для планирования проверок в соответствии с требованиями выше.
- Откройте текстовый редактор и используйте этот пример в качестве руководства по собственному запланированному файлу сканирования.
Для Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- Сохраните файл как com.microsoft.wdav.mobileconfig.
Для JamF и других сторонних MDM:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Сохраните файл как com.microsoft.wdav.plist.
Убедитесь, что запланированное сканирование настроено с помощью параметра "Задать предпочтения".
mdatp health --details scheduled_scanВ результатах вы увидите [managed].
Пример 2. Планирование ежечасной быстрой проверки, ежедневной быстрой проверки и еженедельной полной проверки с помощью plist
В следующем примере почасовая быстрая проверка будет выполняться каждые 6 часов, конфигурация ежедневной быстрой проверки будет выполняться через 885 минут после полуночи (14:45), а еженедельная полная проверка будет выполняться по средам в 880 минут после полуночи (14:40).
Для Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- Сохраните файл как com.microsoft.wdav.mobileconfig.
Для JamF и других сторонних MDM:
- Откройте текстовый редактор и используйте этот пример.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Сохраните файл как com.microsoft.wdav.plist.
Убедитесь, что запланированное сканирование настроено с помощью параметра "Задать предпочтения".
mdatp health --details scheduled_scanВ результатах вы увидите [managed].
Вариант 3. Настройка запланированных проверок с помощью средства CLI
Чтобы включить функцию запланированного сканирования, выполните приведенные далее действия.
| Версия | Command |
|---|---|
| Версия 101.23122.* или более поздняя | sudo mdatp config scheduled-scan settings feature --value enabled |
Чтобы запланировать почасовую быструю проверку, выполните приведенные далее действия.
| Версия | Command |
|---|---|
| Версия 101.23122.* или более поздняя | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Чтобы запланировать ежедневные быстрые проверки, выполните приведенные далее действия.
| Версия | Command |
|---|---|
| Версия 101.23122.* или более поздняя | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Чтобы запланировать еженедельные проверки, выполните приведенные далее действия.
| Версия | Command |
|---|---|
| Версия 101.23122.* или более поздняя | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Для других параметров конфигурации:
Чтобы проверка для обновления определений перед запланированными проверками:
sudo mdatp config scheduled-scan settings check-for-definitions --value trueЧтобы использовать низкоприоритетные потоки для запланированного сканирования:
sudo mdatp config scheduled-scan settings low-priority --value true
Проверка выполнения запланированной проверки
Используйте следующую команду:
mdatp scan list
\<snip\>
Важно!
Запланированные проверки не выполняются в запланированное время, пока устройство находится в спячем режиме. Вместо этого запланированные проверки выполняются, когда устройство возобновляет работу из спящего режима. Если устройство отключено, проверка выполняется в следующее запланированное время сканирования.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по