Ресурсы
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Сбор диагностических сведений
Если вы можете воспроизвести проблему, сначала увеличьте уровень ведения журнала, запустите систему в течение некоторого времени, а затем восстановите уровень ведения журнала до уровня по умолчанию.
Увеличьте уровень ведения журнала:
mdatp log level set --level debugLog level configured successfullyВоспроизведите проблему.
Выполните следующую команду, чтобы создать резервную копию журналов Defender для конечной точки. Файлы будут храниться в архиве .zip.
sudo mdatp diagnostic createЭта команда также выведет путь к файлу к резервной копии после успешной операции:
Diagnostic file created: <path to file>Уровень ведения журнала восстановления:
mdatp log level set --level infoLog level configured successfully
Журнал проблем с установкой
Если во время установки возникает ошибка, установщик сообщит только об общем сбое.
Подробный журнал будет сохранен в /var/log/microsoft/mdatp/install.log.
Если во время установки у вас возникли проблемы, отправьте нам этот файл, чтобы мы могли помочь диагностировать причину.
Удаление Defender для конечной точки в Linux
Существует несколько способов удаления Defender для конечной точки в Linux. Если вы используете средство настройки, например Puppet, следуйте инструкциям по удалению пакета для средства настройки.
Удаление вручную
-
sudo yum remove mdatpдля RHEL и вариантов (CentOS и Oracle Linux). -
sudo zypper remove mdatpдля SLES и вариантов. -
sudo apt-get purge mdatpдля систем Ubuntu и Debian. -
sudo dnf remove mdatpдля Маринера
Настройка из командной строки
Важные задачи, такие как управление параметрами продукта и запуск проверки по запросу, можно выполнять из командной строки.
Глобальные параметры
По умолчанию средство командной строки выводит результат в удобочитаемом формате. Кроме того, средство также поддерживает вывод результата в формате JSON, что удобно для сценариев автоматизации. Чтобы изменить выходные данные на JSON, передайте --output json любую из приведенных ниже команд.
Поддерживаемые команды
В следующей таблице перечислены команды для некоторых наиболее распространенных сценариев. Запустите mdatp help из терминала, чтобы просмотреть полный список поддерживаемых команд.
| Группа | Сценарий | Command |
|---|---|---|
| Конфигурация | Включение и отключение защиты в режиме реального времени | mdatp config real-time-protection --value [enabled\|disabled] |
| Конфигурация | Включение и отключение мониторинга поведения | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Конфигурация | Включение и отключение облачной защиты | mdatp config cloud --value [enabled\|disabled] |
| Конфигурация | Включение и отключение диагностика продукта | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Конфигурация | Включение и отключение автоматической отправки примеров | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Конфигурация | Включение и отключение пассивного режима AV | mdatp config passive-mode --value [enabled\|disabled] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для расширения файла | mdatp exclusion extension [add\|remove] --name [extension] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для файла | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для каталога | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для процесса | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Конфигурация | Добавление или удаление глобального исключения для файла | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Конфигурация | Добавление или удаление глобального исключения для каталога | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Конфигурация | Добавление или удаление глобального исключения для процесса | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Конфигурация | Список всех исключений антивирусной программы | mdatp exclusion list |
| Конфигурация | Добавление имени угрозы в список разрешенных | mdatp threat allowed add --name [threat-name] |
| Конфигурация | Удаление имени угрозы из списка разрешенных | mdatp threat allowed remove --name [threat-name] |
| Конфигурация | Список всех разрешенных имен угроз | mdatp threat allowed list |
| Конфигурация | Включение защиты puA | mdatp threat policy set --type potentially_unwanted_application --action block |
| Конфигурация | Отключение защиты от pua | mdatp threat policy set --type potentially_unwanted_application --action off |
| Конфигурация | Включение режима аудита для защиты от puA | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Конфигурация | Настройка степени параллелизма для проверок по запросу | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Конфигурация | Включение и отключение сканирования после обновлений аналитики безопасности | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Конфигурация | Включение и отключение сканирования архивов (только для проверки по запросу) | mdatp config scan-archives --value [enabled/disabled] |
| Конфигурация | Включение и отключение вычисления хэша файлов | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Диагностика | Изменение уровня журнала | mdatp log level set --level verbose [error|warning|info|verbose] |
| Диагностика | Создание журналов диагностики | mdatp diagnostic create --path [directory] |
| Диагностика | Ограничения размера для сохраненных журналов продуктов | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Работоспособность | Проверка работоспособности продукта | mdatp health |
| Защита | Сканирование пути | mdatp scan custom --path [path] [--ignore-exclusions] |
| Защита | Быстрая проверка | mdatp scan quick |
| Защита | Выполнить полное сканирование | mdatp scan full |
| Защита | Отмена текущей проверки по запросу | mdatp scan cancel |
| Защита | Запрос обновления аналитики безопасности | mdatp definitions update |
| Защита | Откат аналитики безопасности к исходному набору по умолчанию | mdatp definitions restore |
| Журнал защиты | Печать полного журнала защиты | mdatp threat list |
| Журнал защиты | Получение сведений об угрозах | mdatp threat get --id [threat-id] |
| Управление карантином | Вывод списка всех файлов, помещенных в карантин | mdatp threat quarantine list |
| Управление карантином | Удаление всех файлов из карантина | mdatp threat quarantine remove-all |
| Управление карантином | Добавление файла, обнаруженного как угроза, в карантин | mdatp threat quarantine add --id [threat-id] |
| Управление карантином | Удаление файла, обнаруженного как угроза, из карантина | mdatp threat quarantine remove --id [threat-id] |
| Управление карантином | Восстановите файл из карантина. Доступно в Defender для конечной точки версии ниже 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Управление карантином | Восстановите файл из карантина с помощью идентификатора угрозы. Доступно в Defender для конечной точки версии 101.23092.0012 или более поздней. | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Управление карантином | Восстановите файл из карантина с помощью исходного пути угрозы. Доступно в Defender для конечной точки версии 101.23092.0012 или более поздней. | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Обнаружение и нейтрализация атак на конечные точки | Настройка ранней предварительной версии | mdatp edr early-preview [enabled\|disabled] |
| Обнаружение и нейтрализация атак на конечные точки | Установка идентификатора группы | mdatp edr group-ids --group-id [group-id] |
| Обнаружение и нейтрализация атак на конечные точки | Установка и удаление тега, поддерживается только GROUP |
mdatp edr tag set --name GROUP --value [tag] |
| Обнаружение и нейтрализация атак на конечные точки | Перечисление исключений (корневой каталог) | mdatp edr exclusion list [processes|paths|extensions|all] |
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.