macOS'ta Uç Nokta için Microsoft Defender sorun giderme modu
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender Planı 2
- Uç Nokta için Microsoft Defender Planı 1
- macOS üzerinde Uç Nokta için Microsoft Defender
Bu makalede, kuruluş ilkeleri cihazları yönetse bile yöneticilerin çeşitli Microsoft Defender Virüsten Koruma özelliklerini geçici olarak giderebilmesi için macOS'ta Uç Nokta için Microsoft Defender sorun giderme modunun nasıl etkinleştirileceği açıklanır.
Örneğin, kurcalama koruması etkinse bazı ayarlar değiştirilemez veya kapatılamaz, ancak bu ayarları geçici olarak düzenlemek için cihazda sorun giderme modunu kullanabilirsiniz.
Sorun giderme modu varsayılan olarak devre dışıdır ve bir cihaz (ve/veya cihaz grubu) için sınırlı bir süre için açmanızı gerektirir. Sorun giderme modu yalnızca kurumsal bir özelliktir ve Microsoft Defender portalına erişim gerektirir.
Başlamadan önce bilmeniz gerekenler
Sorun giderme modu sırasında şunları yapabilirsiniz:
macOS işlevsel sorun giderme /uygulama uyumluluğunda (hatalı pozitifler) Uç Nokta için Microsoft Defender kullanın.
Uygun izinlere sahip yerel yöneticiler, tek tek uç noktalarda aşağıdaki ilke kilitli yapılandırmalarını değiştirebilir:
Ayar Etkinleştirmek Devre Dışı Bırak/Kaldır Real-Time Koruması/ Pasif mod / İsteğe Bağlı mdatp config real-time-protection --value enabled
mdatp config real-time-protection --value disabled
Ağ Koruması mdatp config network-protection enforcement-level --value block
mdatp config network-protection enforcement-level --value disabled
realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled
mdatp config real-time-protection-statistics --value disabled
Etiketler mdatp edr tag set --name GROUP --value [name]
mdatp edr tag remove --tag-name [name]
groupId'ler mdatp edr group-ids --group-id [group]
Uç Nokta DLP mdatp config data_loss_prevention --value enabled
mdatp config data_loss_prevention --value disabled
Sorun giderme modu sırasında şunları yapamazsınız:
- macOS'ta Uç Nokta için Microsoft Defender için kurcalama korumasını devre dışı bırakın.
- macOS'ta Uç Nokta için Microsoft Defender kaldırın.
Önkoşullar
- Uç Nokta için Microsoft Defender için desteklenen macOS sürümü.
- Uç Nokta için Microsoft Defender kiracıya kaydedilmiş ve cihazda etkin olmalıdır.
- Uç Nokta için Microsoft Defender'de "Güvenlik Merkezi'nde güvenlik ayarlarını yönetme" izinleri.
- Platform Güncelleştirmesi sürümü: 101.23122.0005 veya üzeri.
macOS'ta sorun giderme modunu etkinleştirme
Microsoft Defender portalına gidin ve oturum açın.
Sorun giderme modunu açmak istediğiniz cihaz sayfasına gidin. Ardından üç noktayı (...) ve ardından Sorun giderme modunu aç'ı seçin.
Not
Sorun giderme modunu aç seçeneği, cihaz sorun giderme modu önkoşullarını karşılamasa bile tüm cihazlarda kullanılabilir.
Bölmede görüntülenen bilgileri okuyun ve hazır olduğunuzda Gönder'i seçerek ilgili cihaz için sorun giderme modunu açmak istediğinizi onaylayın.
Değişikliğin görüntülenen metnin geçerlilik kazanmasının birkaç dakika sürebileceğini göreceksiniz. Bu süre boyunca, üç noktayı yeniden seçtiğinizde Sorun Giderme modunu aç beklemede seçeneğinin gri olduğunu görürsünüz.
İşlem tamamlandıktan sonra cihaz sayfasında cihazın artık sorun giderme modunda olduğu gösterilir.
Son kullanıcı macOS cihazında oturum açtıysa aşağıdaki metni görür:
Sorun giderme modu başlatıldı. Bu mod, Yöneticiniz tarafından yönetilen ayarları geçici olarak değiştirmenize olanak tanır. YEAR-MM-DDTHH:MM:SSZ ile sona erer.
Tamam'ı seçin.
Etkinleştirildikten sonra, sorun giderme modunda (TS Modu) togglable olan farklı komut satırı seçeneklerini test edebilirsiniz.
Örneğin, gerçek zamanlı korumayı devre dışı bırakmak için komutunu kullandığınızda
mdatp config real-time-protection --value disabled
parolanızı girmeniz istenir. Parolanızı girdikten sonra Tamam'ı seçin.Aşağıdaki ekran görüntüsüne benzer çıkış raporu, mdatp sistem durumunun
real_time_protection_enabled
"false" vetamper_protection
"blok" olarak çalıştırılmasında görüntülenir.
Algılama için gelişmiş tehdit avcılığı sorguları
Ortamınızda gerçekleşen sorun giderme olaylarına görünürlük sağlamak için önceden oluşturulmuş bazı gelişmiş tehdit avcılığı sorguları vardır. Cihazlar sorun giderme modundayken uyarı oluşturmak üzere algılama kuralları oluşturmak için bu sorguları kullanabilirsiniz.
Belirli bir cihaz için sorun giderme olaylarını alma
İlgili satırlara göre deviceId
veya deviceName
açıklama satırı yaparak arama yapmak için aşağıdaki sorguyu kullanabilirsiniz.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Şu anda sorun giderme modunda olan cihazlar
Şu anda sorun giderme modunda olan cihazları aşağıdaki sorguyu kullanarak bulabilirsiniz:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Cihaza göre sorun giderme modu örneklerinin sayısı
Aşağıdaki sorguyu kullanarak bir cihaz için sorun giderme modu örneklerinin sayısını bulabilirsiniz:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Toplam sayı
Aşağıdaki sorguyu kullanarak sorun giderme modu örneklerinin toplam sayısını öğrenebilirsiniz:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Önerilen içerik
- Mac'te Uç Nokta için Microsoft Defender XDR
- Cloud Apps için Microsoft Defender XDR ile Uç Nokta tümleştirmesi için Microsoft Defender XDR
- Microsoft Edge'deki yenilikçi özellikleri tanımaya başlama
- Ağınızı koruyun
- Ağ korumasını açın
- Web koruması
- Göstergeleri oluşturun
- Web içeriği filtreleme
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.