Schemasökningar med Microsoft Defender för Slutpunkt i macOS

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Du kan starta en sökning med hot när som helst med Microsoft Defender för Endpoint, men ditt företag kan ha nytta av schemalagda eller tidsade genomsökningar. Du kan till exempel schemalägga en genomsökning så att den körs i början av varje arbetsdag eller vecka.

Schemalägga en genomsökning med startad

Du kan skapa ett skanningsschema med det startad daemon på en macOS-enhet.

Mer information om filformatet .plist som används här finns i Listfiler för informationsegenskap på den officiella Apple-utvecklarwebbplatsen.

Schemalägga en snabbsökning

Följande kod visar det schema du behöver använda för att schemalägga en snabbsökning.

  1. Öppna en textredigerare och använd det här exemplet som en guide för din egen schemalagda genomsökningsfil.

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
      "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
        <key>Label</key>
        <string>com.microsoft.wdav.schedquickscan</string>
        <key>ProgramArguments</key>
        <array>
            <string>sh</string>
            <string>-c</string>
            <string>/usr/local/bin/mdatp scan quick</string>
        </array>
        <key>RunAtLoad</key>
        <true/>
        <key>StartCalendarInterval</key>
        <dict>
            <key>Day</key>
            <integer>3</integer>
            <key>Hour</key>
            <integer>2</integer>
            <key>Minute</key>
            <integer>0</integer>
            <key>Weekday</key>
            <integer>5</integer>
        </dict>
        <key>WorkingDirectory</key>
        <string>/usr/local/bin/</string>
    </dict>
    </plist>
    
  2. Spara filen som com.microsoft.wdav.schedquickscan.plist.

Schemalägga en fullständig genomsökning

  1. Öppna en textredigerare och använd det här exemplet för en fullständig genomsökning.

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
      "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
        <key>Label</key>
        <string>com.microsoft.wdav.schedfullscan</string>
        <key>ProgramArguments</key>
        <array>
            <string>sh</string>
            <string>-c</string>
            <string>/usr/local/bin/mdatp scan full</string>
        </array>
        <key>RunAtLoad</key>
        <true/>
        <key>StartCalendarInterval</key>
        <dict>
            <key>Day</key>
            <integer>3</integer>
            <key>Hour</key>
            <integer>2</integer>
            <key>Minute</key>
            <integer>50</integer>
            <key>Weekday</key>
            <integer>5</integer>
        </dict>
        <key>WorkingDirectory</key>
        <string>/usr/local/bin/</string>
    </dict>
    </plist>
    
  2. Spara filen som com.microsoft.wdav.schedfullscan.plist.

Läsa in filen

  1. Öppna terminalen.

  2. Ange följande kommandon för att läsa in filen:

    launchctl load /Library/LaunchDaemons/<your file name.plist>
    launchctl start <your file name>
    
  3. Den schemalagda genomsökningen kommer att köras vid det datum, den tid och den frekvens som du har definierat i p-listan. I de föregående exemplen körs skanningen kl. 02:50 varje fredag.

    • Värdet Weekday för använder ett StartCalendarInterval heltal för att ange den femte dagen i veckan eller fredag. Intervallet är mellan 0 och 7 och 7 som representerar söndag.
    • Värdet Day för använder ett StartCalendarInterval heltal för att ange den tredje dagen i månaden. Intervallet är mellan 1 och 31.
    • Värdet Hour för använder ett StartCalendarInterval heltal för att ange den andra timmen av dagen. Intervallet är mellan 0 och 24. Värdet Minute för använder ett StartCalendarInterval heltal för att ange femtio minuter av timmen. Intervallet är mellan 0 och 59.

Viktigt

Representanter som körs med lansering körs inte vid den schemalagda tiden medan enheten är i viloläge. De körs i stället när enheten återgår till viloläge.

Om enheten är avstängd körs skanningen vid nästa schemalagda genomsökningstid.

Schemalägga en genomsökning med Intune

Du kan också schemalägga skanningar med Microsoft Intune. Den runMDATPQuickScan.sh skript som finns i Skript för Microsoft Defender för Slutpunkt finns kvar när enheten återgår från viloläge.

Mer detaljerade anvisningar om hur du använder det här skriptet i ditt företag finns i Använda skript på macOS-enheter i Intune.