Resurser för Microsoft Defender för Slutpunkt i macOS

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Samla in diagnostikinformation

Om du kan återskapa ett problem ökar du loggningsnivån, kör systemet ett tag och återställer loggningsnivån till standardvärdet.

  1. Öka loggningsnivån:

    mdatp log level set --level debug
    
    Log level configured successfully
    
  2. Återskapa problemet

  3. Kör sudo mdatp diagnostic create för att backa Microsoft Defender för slutpunktsloggar. Filerna lagras i ett .zip arkiv. Det här kommandot skriver också ut filsökvägen till säkerhetskopian när åtgärden har lyckats.

    Tips

    Som standard sparas diagnostikloggar i /Library/Application Support/Microsoft/Defender/wdavdiag/. Om du vill ändra den katalog där diagnostikloggarna sparas skickar --path [directory] du till kommandot nedan och [directory] ersätter med önskad katalog.

    sudo mdatp diagnostic create
    
    Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
    
  4. Återställa loggningsnivån:

    mdatp log level set --level info
    
    Log level configured successfully
    

Loggningsinstallationsproblem

Om ett fel uppstår under installationen rapporterar installationsprogrammet bara ett allmänt fel.

Den detaljerade loggen sparas i /Library/Logs/Microsoft/mdatp/install.log. Om du upplever problem under installationen kan du skicka den här filen till oss så att vi kan hjälpa till att diagnostisera orsaken.

Avinstallera

Det finns flera sätt att avinstallera Microsoft Defender för slutpunkt i macOS. Observera att även om det finns centralt hanterad avinstallation på JAMF är det ännu inte tillgängligt för Microsoft Intune.

Interaktiv avinstallation

  • Öppna Finder > Program. Högerklicka på Microsoft Defender för slutpunkts-> flytta till papperskorgen.

Utdatatyper som stöds

Stöder utdatatyper för tabeller och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i det valda utdataformatet med följande kommandon:

-output json

-output table

Från kommandoraden

  • sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'

Konfigurera från kommandoraden

Viktiga uppgifter, som att kontrollera produktinställningar och utlösa skanningar på begäran, kan utföras från kommandoraden:

Grupp Scenario Kommando
Konfiguration Aktivera/inaktivera realtidsskydd mdatp config real-time-protection --value [enabled/disabled]
Konfiguration Aktivera/inaktivera molnskydd mdatp config cloud --value [enabled/disabled]
Konfiguration Aktivera/inaktivera produktdiagnostik mdatp config cloud-diagnostic --value [enabled/disabled]
Konfiguration Aktivera/inaktivera automatisk exempelinskickning mdatp config cloud-automatic-sample-submission --value [enabled/disabled]
Konfiguration Lägga till ett namn på ett hot i listan över tillåtna hot mdatp threat allowed add --name [threat-name]
Konfiguration Ta bort ett namn på ett hot från listan över tillåtna hot mdatp threat allowed remove --name [threat-name]
Konfiguration Lista alla tillåtna hotnamn mdatp threat allowed list
Konfiguration Aktivera PUA-skydd mdatp threat policy set --type potentially_unwanted_application -- action block
Konfiguration Inaktivera PUA-skydd mdatp threat policy set --type potentially_unwanted_application -- action off
Konfiguration Aktivera granskningsläge för PUA-skydd mdatp threat policy set --type potentially_unwanted_application -- action audit
Konfiguration Aktivera/inaktivera antivirus in passivt läge mdatp config passive-mode --value [enabled/disabled]
Konfiguration Konfigurera parallellitetsgraden för skanningar på begäran mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Konfiguration Aktivera/inaktivera genomsökningar efter säkerhetsintelligensuppdateringar mdatp config scan-after-definition-update --value [enabled/disabled]
Konfiguration Aktivera/inaktivera arkivsökning (endast skanningar på begäran) mdatp config scan-archives --value [enabled/disabled]
Diagnostik Ändra loggnivån mdatp log level set --level [error/warning/info/verbose]
Diagnostik Generera diagnostikloggar mdatp diagnostic create --path [directory]
Hälsa Kontrollera produktens hälsa mdatp health
Hälsa Söka efter ett spefic produktattribut mdatp health --field [attribute: healthy/licensed/engine_version...]
Skydd Genomsöka en sökväg mdatp scan custom --path [path] [--ignore-exclusions]
Skydd Gör en snabbsökning mdatp scan quick
Skydd Gör en fullständig genomsökning mdatp scan full
Skydd Avbryta en pågående sökning på begäran mdatp scan cancel
Skydd Begära en säkerhetsintelligensuppdatering mdatp definitions update
Identifiering och åtgärd på slutpunkt Ange/ta bort tagg, endast GROUP stöds mdatp edr tag set --name GROUP --value [name]
Identifiering och åtgärd på slutpunkt Ta bort grupptagg från enhet mdatp edr tag remove --tag-name [name]
Identifiering och åtgärd på slutpunkt Lägg till grupp-ID mdatp edr group-ids --group-id [group]

Så här aktiverar du Komplettera automatiskt

Du aktiverar Komplettera automatiskt i bash genom att köra följande kommando och starta om Terminal-sessionen:

echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile

Så här aktiverar du Komplettera automatiskt i zsh:

  • Kontrollera om Komplettera automatiskt är aktiverat på enheten:

    cat ~/.zshrc | grep autoload
    
  • Om föregående kommando inte ger några utdata kan du aktivera Komplettera automatiskt med följande kommando:

    echo "autoload -Uz compinit && compinit" >> ~/.zshrc
    
  • Kör följande kommandon för att aktivera Automatisk komplettering för Microsoft Defender för Slutpunkt på macOS och starta om terminalsessionen:

    sudo mkdir -p /usr/local/share/zsh/site-functions
    
    sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
    

Klientkatalogen Microsoft Defender för karantän för slutpunkt

/Library/Application Support/Microsoft/Defender/quarantine/ innehåller de filer som har satts i karantän av mdatp. Filerna namnges efter hotspårnings-ID:t. De aktuella uppföljningsid:erna visas med mdatp threat list.

Information om Microsoft Defender för slutpunktsportalen

Identifiering och åtgärd på slutpunkt för macOS har nu kommit på Microsoft Defender för Endpoint-bloggen ger detaljerad vägledning om vad du kan förvänta dig i Microsoft Defender för Slutpunktssäkerhetscenter.