Resurser för Microsoft Defender för Slutpunkt i macOS
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Samla in diagnostikinformation
Om du kan återskapa ett problem ökar du loggningsnivån, kör systemet ett tag och återställer loggningsnivån till standardvärdet.
Öka loggningsnivån:
mdatp log level set --level debugLog level configured successfullyÅterskapa problemet
Kör
sudo mdatp diagnostic createför att backa Microsoft Defender för slutpunktsloggar. Filerna lagras i ett .zip arkiv. Det här kommandot skriver också ut filsökvägen till säkerhetskopian när åtgärden har lyckats.Tips
Som standard sparas diagnostikloggar i
/Library/Application Support/Microsoft/Defender/wdavdiag/. Om du vill ändra den katalog där diagnostikloggarna sparas skickar--path [directory]du till kommandot nedan och[directory]ersätter med önskad katalog.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Återställa loggningsnivån:
mdatp log level set --level infoLog level configured successfully
Loggningsinstallationsproblem
Om ett fel uppstår under installationen rapporterar installationsprogrammet bara ett allmänt fel.
Den detaljerade loggen sparas i /Library/Logs/Microsoft/mdatp/install.log. Om du upplever problem under installationen kan du skicka den här filen till oss så att vi kan hjälpa till att diagnostisera orsaken.
Avinstallera
Det finns flera sätt att avinstallera Microsoft Defender för slutpunkt i macOS. Observera att även om det finns centralt hanterad avinstallation på JAMF är det ännu inte tillgängligt för Microsoft Intune.
Interaktiv avinstallation
- Öppna Finder > Program. Högerklicka på Microsoft Defender för slutpunkts-> flytta till papperskorgen.
Utdatatyper som stöds
Stöder utdatatyper för tabeller och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i det valda utdataformatet med följande kommandon:
-output json
-output table
Från kommandoraden
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Konfigurera från kommandoraden
Viktiga uppgifter, som att kontrollera produktinställningar och utlösa skanningar på begäran, kan utföras från kommandoraden:
| Grupp | Scenario | Kommando |
|---|---|---|
| Konfiguration | Aktivera/inaktivera realtidsskydd | mdatp config real-time-protection --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera molnskydd | mdatp config cloud --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera produktdiagnostik | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera automatisk exempelinskickning | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Konfiguration | Lägga till ett namn på ett hot i listan över tillåtna hot | mdatp threat allowed add --name [threat-name] |
| Konfiguration | Ta bort ett namn på ett hot från listan över tillåtna hot | mdatp threat allowed remove --name [threat-name] |
| Konfiguration | Lista alla tillåtna hotnamn | mdatp threat allowed list |
| Konfiguration | Aktivera PUA-skydd | mdatp threat policy set --type potentially_unwanted_application -- action block |
| Konfiguration | Inaktivera PUA-skydd | mdatp threat policy set --type potentially_unwanted_application -- action off |
| Konfiguration | Aktivera granskningsläge för PUA-skydd | mdatp threat policy set --type potentially_unwanted_application -- action audit |
| Konfiguration | Aktivera/inaktivera antivirus in passivt läge | mdatp config passive-mode --value [enabled/disabled] |
| Konfiguration | Konfigurera parallellitetsgraden för skanningar på begäran | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfiguration | Aktivera/inaktivera genomsökningar efter säkerhetsintelligensuppdateringar | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera arkivsökning (endast skanningar på begäran) | mdatp config scan-archives --value [enabled/disabled] |
| Diagnostik | Ändra loggnivån | mdatp log level set --level [error/warning/info/verbose] |
| Diagnostik | Generera diagnostikloggar | mdatp diagnostic create --path [directory] |
| Hälsa | Kontrollera produktens hälsa | mdatp health |
| Hälsa | Söka efter ett spefic produktattribut | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| Skydd | Genomsöka en sökväg | mdatp scan custom --path [path] [--ignore-exclusions] |
| Skydd | Gör en snabbsökning | mdatp scan quick |
| Skydd | Gör en fullständig genomsökning | mdatp scan full |
| Skydd | Avbryta en pågående sökning på begäran | mdatp scan cancel |
| Skydd | Begära en säkerhetsintelligensuppdatering | mdatp definitions update |
| Identifiering och åtgärd på slutpunkt | Ange/ta bort tagg, endast GROUP stöds | mdatp edr tag set --name GROUP --value [name] |
| Identifiering och åtgärd på slutpunkt | Ta bort grupptagg från enhet | mdatp edr tag remove --tag-name [name] |
| Identifiering och åtgärd på slutpunkt | Lägg till grupp-ID | mdatp edr group-ids --group-id [group] |
Så här aktiverar du Komplettera automatiskt
Du aktiverar Komplettera automatiskt i bash genom att köra följande kommando och starta om Terminal-sessionen:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Så här aktiverar du Komplettera automatiskt i zsh:
Kontrollera om Komplettera automatiskt är aktiverat på enheten:
cat ~/.zshrc | grep autoloadOm föregående kommando inte ger några utdata kan du aktivera Komplettera automatiskt med följande kommando:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcKör följande kommandon för att aktivera Automatisk komplettering för Microsoft Defender för Slutpunkt på macOS och starta om terminalsessionen:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Klientkatalogen Microsoft Defender för karantän för slutpunkt
/Library/Application Support/Microsoft/Defender/quarantine/ innehåller de filer som har satts i karantän av mdatp. Filerna namnges efter hotspårnings-ID:t. De aktuella uppföljningsid:erna visas med mdatp threat list.
Information om Microsoft Defender för slutpunktsportalen
Identifiering och åtgärd på slutpunkt för macOS har nu kommit på Microsoft Defender för Endpoint-bloggen ger detaljerad vägledning om vad du kan förvänta dig i Microsoft Defender för Slutpunktssäkerhetscenter.