Hibaelhárítási mód Végponthoz készült Microsoft Defender macOS rendszeren
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender 2. csomag
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender macOS rendszeren
Ez a cikk azt ismerteti, hogyan engedélyezheti a hibaelhárítási módot Végponthoz készült Microsoft Defender macOS rendszeren, hogy a rendszergazdák ideiglenesen elháríthassák a különböző Microsoft Defender víruskereső funkciókat, még akkor is, ha a szervezeti szabályzatok kezelik az eszközöket.
Ha például az illetéktelen módosítás elleni védelem engedélyezve van, bizonyos beállítások nem módosíthatók vagy kapcsolhatók ki, de az eszközön a hibaelhárítási mód használatával ideiglenesen szerkesztheti ezeket a beállításokat.
A hibaelhárítási mód alapértelmezés szerint le van tiltva, és korlátozott ideig be kell kapcsolnia egy eszközön (és/vagy eszközcsoporton). A hibaelhárítási mód kizárólag vállalati funkció, és hozzáférést igényel Microsoft Defender portálhoz.
Mit kell tudnia a kezdés előtt?
A hibaelhárítási mód során a következő módokon végezheti el a következőt:
Használja a Végponthoz készült Microsoft Defender macOS-en működő hibaelhárítási /alkalmazáskompatibilitási (téves pozitív) hibaelhárítást.
A helyi rendszergazdák a megfelelő engedélyekkel módosíthatják a következő szabályzat zárolt konfigurációit az egyes végpontokon:
Beállítás Engedélyez Letiltás/eltávolítás Real-Time Védelem/ Passzív mód / Igény szerinti mdatp config real-time-protection --value enabledmdatp config real-time-protection --value disabledHálózatvédelem mdatp config network-protection enforcement-level --value blockmdatp config network-protection enforcement-level --value disabledrealTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabledmdatp config real-time-protection-statistics --value disabledCímkék mdatp edr tag set --name GROUP --value [name]mdatp edr tag remove --tag-name [name]groupIds mdatp edr group-ids --group-id [group]Végpont DLP-je mdatp config data_loss_prevention --value enabledmdatp config data_loss_prevention --value disabled
A hibaelhárítási mód során nem végezheti el a következőt:
- Tiltsa le az illetéktelen módosítás elleni védelmet Végponthoz készült Microsoft Defender macOS rendszeren.
- Távolítsa el a Végponthoz készült Microsoft Defender macOS rendszeren.
Előfeltételek
- A macOS támogatott verziója Végponthoz készült Microsoft Defender.
- Végponthoz készült Microsoft Defender bérlői regisztrációval kell rendelkeznie, és aktívnak kell lennie az eszközön.
- A "Biztonsági beállítások kezelése a Security Centerben" engedélyekkel a Végponthoz készült Microsoft Defender.
- Platformfrissítés verziója: 101.23122.0005 vagy újabb.
Hibaelhárítási mód engedélyezése macOS rendszeren
Nyissa meg a Microsoft Defender portált, és jelentkezzen be.
Lépjen arra az eszközoldalra, amelyen be szeretné kapcsolni a hibaelhárítási módot. Ezután válassza a három pontot (...), majd a Hibaelhárítási mód bekapcsolása lehetőséget.
Megjegyzés:
A Hibaelhárítási mód bekapcsolása lehetőség minden eszközön elérhető, még akkor is, ha az eszköz nem felel meg a hibaelhárítási mód előfeltételeinek.
Olvassa el a panelen megjelenő információkat, és ha elkészült, válassza a Küldés lehetőséget annak megerősítéséhez, hogy be szeretné kapcsolni az adott eszköz hibaelhárítási módját.
Látni fogja, hogy eltarthat néhány percig, amíg a módosítás érvénybe lép a megjelenő szövegben. Ez idő alatt, amikor ismét kiválasztja a három pontot, a Hibaelhárítás bekapcsolása függőben beállítás szürkén jelenik meg.
Ha elkészült, az eszközoldalon látható, hogy az eszköz hibaelhárítási módban van.
Ha a végfelhasználó bejelentkezett a macOS-eszközön, a következő szöveg jelenik meg:
A hibaelhárítási mód elindult. Ezzel a móddal ideiglenesen módosíthatja a rendszergazda által kezelt beállításokat. Lejárat: ÉV-MM-DDTHH:MM:SSZ.
Kattintson az OK gombra.
Ha engedélyezve van, tesztelheti a különböző parancssori beállításokat, amelyek hibaelhárítási módban (TS módban) összesíthetők.
Ha például a parancsot használja
mdatp config real-time-protection --value disableda valós idejű védelem letiltásához, a rendszer kérni fogja, hogy adja meg a jelszavát. A jelszó megadása után kattintson az OK gombra .
Az alábbi képernyőképhez hasonló kimeneti jelentés az mdatp állapotának
real_time_protection_enabledfuttatásakor "false" (hamis) éstamper_protection"block" (blokk) állapotban jelenik meg.
Speciális keresési lekérdezések észleléshez
Vannak előre összeállított speciális veszélyforrás-keresési lekérdezések, amelyek betekintést nyújtanak a környezetben előforduló hibaelhárítási eseményekbe. Ezekkel a lekérdezésekkel észlelési szabályokat hozhat létre riasztások létrehozásához, ha az eszközök hibaelhárítási módban vannak.
Adott eszköz hibaelhárítási eseményeinek lekérése
A következő lekérdezéssel kereshet a megfelelő sorok között deviceId , vagy deviceName megjegyzéseket fűzhet hozzá.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Jelenleg hibaelhárítási módban lévő eszközök
A jelenleg hibaelhárítási módban lévő eszközöket az alábbi lekérdezéssel keresheti meg:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Hibaelhárítási módú példányok száma eszközönként
Az eszköz hibaelhárítási módú példányainak számát az alábbi lekérdezéssel állapíthatja meg:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Teljes szám
A hibaelhárítási módú példányok teljes számát az alábbi lekérdezéssel ismerheti meg:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Ajánlott tartalom
- Microsoft Defender XDR végponthoz Mac gépen
- Microsoft Defender XDR végpontintegráció a Cloud Appshez készült Microsoft Defender XDR-vel
- Ismerkedés a Microsoft Edge innovatív funkcióival
- A hálózat védelme
- A hálózatvédelem bekapcsolása
- Webes védelem
- Jelzők létrehozása
- Webes tartalom szűrése
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.