Kom igång med felsökningsläge i Microsoft Defender för Endpoint

Gäller för:

• Microsoft Defender för Endpoint
• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Med felsökningsläget i Microsoft Defender för Endpoint kan administratörer felsöka olika Microsoft Defender Antivirus-funktioner, även om enheter hanteras av organisationsprinciper. Om manipuleringsskydd till exempel är aktiverat kan vissa inställningar inte ändras eller inaktiveras, men du kan använda felsökningsläget på en enhet för att redigera inställningarna tillfälligt.

Felsökningsläget är inaktiverat som standard och kräver att du aktiverar det för en enhet (och/eller grupp av enheter) under en begränsad tid. Felsökningsläget är endast en funktion för företag och kräver Microsoft Defender portalåtkomst.

Tips

• Under felsökningsläget kan du använda PowerShell-kommandot Set-MPPreference -DisableTamperProtection $true på Windows-enheter.
• Om du vill kontrollera tillståndet för manipuleringsskydd kan du använda PowerShell-cmdleten Get-MpComputerStatus . Leta efter IsTamperProtected eller RealTimeProtectionEnabledi listan med resultat. (Värdet true innebär att manipuleringsskydd är aktiverat.) .

Vad behöver jag veta innan jag börjar?

Under felsökningsläget kan du använda PowerShell-kommandot Set-MPPreference -DisableTamperProtection $true eller, på klientoperativsystem, Security Center-appen för att tillfälligt inaktivera manipuleringsskydd på enheten och göra nödvändiga konfigurationsändringar.

• Använd felsökningsläge för att inaktivera/ändra inställningen för manipuleringsskydd för att utföra:

  • Microsoft Defender Funktionsfelsökning/programkompatibilitet för antivirusprogram (falska positiva programblock).

• Lokala administratörer med lämpliga behörigheter kan ändra konfigurationer på enskilda slutpunkter som vanligtvis är låsta av principer. Det kan vara bra att ha en enhet i felsökningsläge när du diagnostiserar Microsoft Defender antivirusprestanda och kompatibilitetsscenarier.

  • Lokala administratörer kan inte inaktivera Microsoft Defender Antivirus eller avinstallera det.

  • Lokala administratörer kan konfigurera alla andra säkerhetsinställningar i Microsoft Defender Antivirus-paketet (till exempel molnskydd, manipuleringsskydd).

• Administratörer med behörigheten "Hantera säkerhetsinställningar" har åtkomst till att aktivera felsökningsläge.

• Microsoft Defender för Endpoint samlar in loggar och undersökningsdata under hela felsökningsprocessen.

  • En ögonblicksbild av MpPreference tas innan felsökningsläget börjar.

  • En andra ögonblicksbild tas precis innan felsökningsläget upphör att gälla.

  • Driftloggar från under felsökningsläget samlas också in.

  • Loggar och ögonblicksbilder samlas in och är tillgängliga för en administratör att samla in med hjälp av funktionen Samla in undersökningspaket på enhetssidan. Microsoft tar inte bort dessa data från enheten förrän en administratör har samlat in dem.

• Administratörer kan också granska de ändringar i inställningarna som sker under felsökningsläget i Loggboken på enhetssidan.

• Felsökningsläget stängs automatiskt av när förfallotiden har nåtts (den varar i 4 timmar). Efter förfallodatumet blir alla principhanterade konfigurationer skrivskyddade igen och återgår till hur enheten konfigurerades innan felsökningsläget aktiveras.

• Det kan ta upp till 15 minuter från det att kommandot skickas från Microsoft Defender XDR till när det blir aktivt på enheten.

• Meddelanden skickas till användaren när felsökningsläget börjar och när felsökningsläget avslutas. En varning skickas också för att indikera att felsökningsläget snart avslutas.

• Början och slutet av felsökningsläget identifieras i enhetens tidslinje på enhetssidan.

• Du kan köra frågor mot alla felsökningslägeshändelser i avancerad jakt.

Obs!

Principhanteringsändringar tillämpas på enheten när den är aktivt i felsökningsläge. Ändringarna börjar dock inte gälla förrän felsökningsläget upphör att gälla. Dessutom tillämpas inte Microsoft Defender Antivirus Platform-uppdateringar under felsökningsläget. Plattformsuppdateringar tillämpas när felsökningsläget slutar med en Windows-uppdatering.

Förutsättningar

• En enhet som kör Windows 10 (version 19044.1618 eller senare), Windows 11, Windows Server 2019 eller Windows Server 2022.

  Termin/Redstone	OS-version	Version
  21H2/SV1	>=22000.593	KB5011563: Microsoft Update Catalog
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043.1620	KB5011543: Microsoft Update Catalog
  Windows Server 2022	>=20348.617	KB5011558: Microsoft Update Catalog
  Windows Server 2019 (RS5)	>=17763.2746	KB5011551: Microsoft Update Catalog

• Felsökningsläget är också tillgängligt för datorer som kör den moderna, enhetliga lösningen för Windows Server 2012 R2 och Windows Server 2016. Innan du använder felsökningsläget kontrollerar du att alla följande komponenter är uppdaterade:

  • Sense-version 10.8049.22439.1084 eller senare (KB5005292: Microsoft Update Catalog)

  • Microsoft Defender Antivirus – Plattform: 4.18.2207.7 eller senare (KB4052623: Microsoft Update Catalog)

  • Microsoft Defender Antivirus – Motor: 1.1.19500.2 eller senare (KB2267602: Microsoft Update Catalog)

• För att felsökningsläget ska tillämpas måste Microsoft Defender för Endpoint vara klientregistrerat och aktivt på enheten.

• Enheten måste aktivt köra Microsoft Defender Antivirus version 4.18.2203 eller senare.

Aktivera felsökningsläge

1. Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.

2. Gå till enhetssidan/datorsidan för den enhet som du vill aktivera felsökningsläget för. Välj Aktivera felsökningsläge. Du måste ha behörigheten "Hantera säkerhetsinställningar i Security Center" för Microsoft Defender för Endpoint.

   

Obs!

Alternativet Aktivera felsökningsläge är tillgängligt på alla enheter, även om enheten inte uppfyller kraven för felsökningsläge.

3. Bekräfta att du vill aktivera felsökningsläget för enheten.

   

4. Enhetssidan visar att enheten nu är i felsökningsläge.

   

Avancerade jaktfrågor

Här följer några fördefinierade avancerade jaktfrågor som ger dig insyn i de felsökningshändelser som inträffar i din miljö. Du kan också använda dessa frågor för att skapa identifieringsregler för att generera aviseringar när enheter är i felsökningsläge.

Hämta felsökningshändelser för en viss enhet

Sök efter deviceId eller deviceName genom att kommentera ut respektive rad.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Enheter som för närvarande är i felsökningsläge

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Antal felsökningslägesinstanser per enhet

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Totalt antal

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Relaterade artiklar

Tips

Prestandatips På grund av en mängd olika faktorer kan Microsoft Defender Antivirus, som andra antivirusprogram, orsaka prestandaproblem på slutpunktsenheter. I vissa fall kan du behöva justera prestanda för Microsoft Defender Antivirus för att lindra dessa prestandaproblem. Microsofts prestandaanalys är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filsökvägar, processer och filnamnstillägg som kan orsaka prestandaproblem. Några exempel är:

• De vanligaste sökvägarna som påverkar genomsökningstiden
• De vanligaste filerna som påverkar genomsökningstiden
• De vanligaste processerna som påverkar genomsökningstiden
• De vanligaste filnamnstilläggen som påverkar genomsökningstiden
• Kombinationer – till exempel:
  • de vanligaste filerna per tillägg
  • de översta sökvägarna per tillägg
  • de vanligaste processerna per sökväg
  • de vanligaste genomsökningarna per fil
  • de vanligaste genomsökningarna per fil per process

Du kan använda informationen som samlas in med hjälp av prestandaanalys för att bättre utvärdera prestandaproblem och tillämpa reparationsåtgärder. Se: Prestandaanalys för Microsoft Defender Antivirus.

• Scenarier för felsökningsläge
• Skydda säkerhetsinställningarna med manipuleringsskydd

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.