在 macOS 上使用Microsoft Defender for Endpoint计划扫描
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
在 macOS 上计划内置扫描以Microsoft Defender for Endpoint
虽然可以使用Microsoft Defender for Endpoint随时启动威胁扫描,但企业可能会从计划扫描或定时扫描中受益。 例如,可以计划扫描在每个工作日或每周开始时运行。
有三种类型的计划扫描可配置:每小时扫描、每日扫描和每周扫描。 每小时和每日计划的扫描始终作为快速扫描运行,每周扫描可以配置为快速扫描或完全扫描。 可以同时有所有三种类型的计划扫描。 请参阅以下示例。
先决条件:
- 平台更新版本: 101.23122.0005 或更高版本
在 macOS 上使用Microsoft Defender for Endpoint计划扫描
可以为 macOS 创建计划扫描,该扫描内置于 macOS 上Microsoft Defender for Endpoint。
有关此处使用的 .plist 文件格式的详细信息,请参阅 Apple 官方开发人员网站上的 关于信息属性列表文件 。
以下示例显示了 macOS 上计划扫描的每日和/或每周配置。
提示
计划基于设备的本地时区。
| 参数 | 此参数可接受的值为: |
|---|---|
| scheduledScan | 启用或禁用 |
| scanType | 快速或完整 |
| ignoreExclusions | true 或 false |
| lowPriorityScheduledScan | true 或 false |
| dayOfWeek | 范围介于 0 和 8 之间。 - 0:每天 - 1:星期日 - 2:星期一 - 3:星期二 - 4:星期三 - 5:星期四 - 6:星期五 - 7:星期六 - 8:从不 |
| timeOfDay | 指定执行计划扫描的一天中的时间(作为 午夜后的分钟数)。 时间是指计算机上的本地时间。 如果未为此参数指定值,计划扫描将在午夜后两小时的默认时间运行。 |
| interval | 0 (从不) ,每 1 (小时) 到 24 (小时,每天扫描 1 次) |
| randomizeScanStartTime | 仅适用于每日快速扫描或每周快速/完全扫描。 将扫描的开始时间随机设置为指定的小时数。 例如,如果扫描计划在下午 2 点进行,而 randomizeScanStartTime 设置为 2,则扫描将在下午 2 点到下午 4 点之间的随机时间开始。 |
计划的扫描按在 plist 中定义的日期、时间和频率运行。
示例 1:使用 plist 计划每日快速扫描和每周完全扫描
在以下示例中,每日快速扫描配置设置为在午夜 (下午 2:45 ) 885 分钟运行。
每周配置设置为在周三午夜 880 分钟后运行完全扫描, (下午 2:40 ) 。
它设置为忽略排除项并运行低优先级扫描。
以下代码显示了根据上述要求计划扫描所需的架构。
- 打开文本编辑器,并使用此示例作为你自己的计划扫描文件的指南。
对于Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
- 将文件另存为 com.microsoft.wdav.mobileconfig。
对于 JamF 和其他第三方 MDM:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
将文件另存为 com.microsoft.wdav.plist。
检查是否通过“设置首选项”配置了计划扫描
mdatp health --details scheduled_scan在结果中,应能够看到 [托管]。
示例 2:使用 plist 计划每小时快速扫描、每日快速扫描和每周完全扫描
在以下示例中,每小时快速扫描每 6 小时运行一次,每日快速扫描配置设置为在午夜后 885 分钟运行 (下午 2:45 ) ,每周一次完整扫描将在周三午夜后 880 分钟运行, (下午 2:40) 。
对于Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- 将文件另存为 com.microsoft.wdav.mobileconfig。
对于 JamF 和其他第三方 MDM:
- 打开文本编辑器并使用此示例。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
将文件另存为 com.microsoft.wdav.plist。
检查是否通过“设置首选项”配置了计划扫描
mdatp health --details scheduled_scan在结果中,应能够看到 [托管]。
选项 3:通过 CLI 工具配置计划扫描
若要启用计划扫描功能,请执行以下操作:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.* 或更高版本 | sudo mdatp config scheduled-scan settings feature --value enabled |
若要计划每小时快速扫描,请执行以下操作:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.* 或更高版本 | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
若要计划每日快速扫描,请执行以下操作:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.* 或更高版本 | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
计划每周扫描:
| 版本 | 命令 |
|---|---|
| 版本 101.23122.* 或更高版本 | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
对于其他配置选项:
若要在计划扫描之前更新定义检查,请执行以下操作:
sudo mdatp config scheduled-scan settings check-for-definitions --value true若要对计划扫描使用低优先级线程,请执行以下任务:
sudo mdatp config scheduled-scan settings low-priority --value true
检查计划的扫描是否运行
使用以下命令:
mdatp scan list
\<snip\>
重要
当设备处于睡眠状态时,计划扫描不会在计划的时间运行。 相反,当设备从睡眠模式恢复时,计划扫描将运行。 如果设备已关闭,则扫描将在下一个计划扫描时间运行。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈