Kom igång med felsökningsläge i Microsoft Defender för Endpoint

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Microsoft Defender för Endpoint felsökningsläge kan du felsöka olika antivirusfunktioner i Microsoft Defender genom att aktivera dem från enheten och testa olika scenarier, även om de styrs av organisationens princip. Felsökningsläget är inaktiverat som standard och kräver att du aktiverar det för en enhet (och/eller grupp av enheter) under en begränsad tid. Observera att detta endast är en företagsfunktion och kräver Microsoft 365 Defender åtkomst.

Vad behöver jag veta innan jag börjar?

  • Använd felsökningsläge för att inaktivera/ändra inställningen för manipuleringsskydd för att utföra:

    • Microsoft Defender Antivirus funktionell felsökning /programkompatibilitet (falska positiva programblock).

    • Microsoft Defender Antivirus prestandafelsökning med hjälp av felsökningsläget och manipulering av manipuleringsskydd och andra antivirusinställningar.

  • Om en manipuleringshändelse inträffar (till exempel om ögonblicksbilden MpPreference ändras eller tas bort) avslutas felsökningsläget och manipuleringsskyddet aktiveras på enheten.

  • Lokala administratörer med lämpliga behörigheter kan ändra konfigurationer på enskilda slutpunkter som vanligtvis är låsta av principer. Att ha en enhet i felsökningsläge kan vara användbart när du diagnostiserar Microsoft Defender Antivirus scenarier för prestanda och kompatibilitet.

    • Lokala administratörer kan inte inaktivera Microsoft Defender Antivirus eller avinstallera den.

    • Lokala administratörer kommer att kunna konfigurera alla andra säkerhetsinställningar i Microsoft Defender Antivirus sviten (till exempel molnskydd, manipuleringsskydd).

  • Administratörer med behörigheten "Hantera säkerhetsinställningar" har åtkomst för att aktivera felsökningsläge.

  • Microsoft Defender för Endpoint samlar in loggar och undersökningsdata under hela felsökningsprocessen.

    • Ögonblicksbild av MpPreference tas innan felsökningsläget börjar.

    • Den andra ögonblicksbilden tas precis innan felsökningsläget upphör att gälla.

    • Driftloggar från under felsökningsläget samlas också in.

    • Alla ovanstående loggar och ögonblicksbilder samlas in och kommer att vara tillgängliga för en administratör att samla in med hjälp av funktionen Samla in undersökningspaket på enhetssidan. Observera att Microsoft inte tar bort dessa data från enheten förrän en administratör samlar in dem.

  • Administratörer kan också granska de ändringar i inställningarna som sker under felsökningsläget i Loggboken på enhetssidan.

  • Felsökningsläget stängs automatiskt av när förfallotiden har nåtts (den varar i 3 timmar). Efter förfallodatumet blir alla principhanterade konfigurationer skrivskyddade igen och återgår till hur det var innan felsökningsläget aktiveras.

  • Det kan ta upp till 15 minuter från det att kommandot skickas från Microsoft 365 Defender till när det blir aktivt på enheten.

  • Meddelandet skickas till slutanvändaren när felsökningsläget börjar och när felsökningsläget avslutas. En varning skickas också som meddelar att den kommer att avslutas snart.

  • Felsökningsläget är aktivt, men identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) blockerar inte några filer, mappar eller processer som Microsoft Defender Antivirus har exkluderat från genomsökningar.

  • Början och slutet av felsökningsläget identifieras på enhetens tidslinje på enhetssidan.

  • Du kan köra frågor mot alla felsökningslägeshändelser i avancerad jakt.

Anteckning

Principhanteringsändringar tillämpas på datorn när den är aktivt i felsökningsläge. Ändringarna börjar dock inte gälla förrän felsökningsläget upphör att gälla. Dessutom tillämpas inte Microsoft Defender Antivirus Platform-uppdateringar under felsökningsläget. Plattformsuppdateringar tillämpas när felsökningsläget slutar med en Windows uppdatering.

Förutsättningar

Aktivera felsökningsläget

  1. Gå till Microsoft 365 Defender-portalen (https://security.microsoft.com)och logga in.

  2. Gå till enhetssidan/datorsidan för den enhet som du vill aktivera felsökningsläget för. Välj Aktivera felsökningsläge. Observera att detta kräver behörigheterna "Hantera säkerhetsinställningar i Security Center" för Microsoft Defender för Endpoint.

    Aktivera felsökningsläge

  3. Bekräfta att du vill aktivera felsökningsläget för enheten.

    Den utfällbara konfigurationen

  4. Enhetssidan visar att enheten nu är i felsökningsläge.

    Enheten är nu i felsökningsläge

Avancerade jaktfrågor

Här är några färdiga avancerade jaktfrågor som ger dig insyn i de felsökningshändelser som inträffar i din miljö. Du kan också använda dessa frågor för att skapa identifieringsregler som varnar dig när enheterna är i felsökningsläge.

Hämta felsökningshändelser för en viss enhet

let deviceName = "<device name>";   // update with device name 
let deviceId = "<device id>";   // update with device id 
search in (DeviceEvents)  
(DeviceName == deviceName  
) and ActionType == "AntivirusTroubleshootModeEvent"  
| extend _tsmodeproperties = parse_json(AdditionalFields)   
| project $table, Timestamp,DeviceId, DeviceName, _tsmodeproperties,  
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,  
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,  
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource 

Enheter som för närvarande är i felsökningsläge

search in (DeviceEvents)  
ActionType == "AntivirusTroubleshootModeEvent"  
| extend _tsmodeproperties = parse_json(AdditionalFields)   
| where Timestamp > ago(3h)    
| where _tsmodeproperties.TroubleshootingStateChangeReason == "Troubleshooting mode started"  
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId

Antal felsökningslägesinstanser per enhet

search in (DeviceEvents)  
ActionType == "AntivirusTroubleshootModeEvent"  
| extend _tsmodeproperties = parse_json(AdditionalFields)   
| where Timestamp > ago(30d)  // choose the date range you want  
| where _tsmodeproperties.TroubleshootingStateChangeReason == "Troubleshooting mode started"  
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId  
| sort by count_  

Totalt antal

search in (DeviceEvents)  
ActionType == "AntivirusTroubleshootModeEvent"  
| extend _tsmodeproperties = parse_json(AdditionalFields)   
| where Timestamp > ago(2d) //beginning of time range  
| where Timestamp < ago(1d) //end of time range  
| where _tsmodeproperties.TroubleshootingStateChangeReason == "Troubleshooting mode started"  
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()   
| where count_ > 5          // choose your max # of TS mode instances for your time range