Ресурсы для Microsoft Defender для конечной точки в macOS
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Сбор диагностических сведений
Если вы можете воспроизвести проблему, увеличьте уровень ведения журнала, запустите систему в течение некоторого времени, а затем восстановите уровень ведения журнала до уровня по умолчанию.
Увеличьте уровень ведения журнала:
mdatp log level set --level debugLog level configured successfullyВоспроизведите проблему.
Запустите
sudo mdatp diagnostic create, чтобы создать резервную копию журналов Microsoft Defender для конечной точки. Файлы хранятся в архиве.zip. Эта команда также выводит путь к файлу к резервной копии после успешной операции.Совет
По умолчанию журналы диагностики сохраняются в
/Library/Application Support/Microsoft/Defender/wdavdiag/. Чтобы изменить каталог, в котором сохраняются журналы диагностики, передайте--path [directory]приведенную ниже команду, заменив[directory]нужным каталогом.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"Восстановление уровня ведения журнала.
mdatp log level set --level infoLog level configured successfully
Ведение журнала проблем с установкой
Если во время установки возникает ошибка, установщик сообщает только об общем сбое. Подробный журнал сохраняется в /Library/Logs/Microsoft/mdatp/install.log. Если во время установки у вас возникли проблемы, отправьте нам этот файл при обращении в службу поддержки, чтобы мы могли помочь диагностировать причину.
Дополнительные сведения об устранении неполадок с установкой см. в статье Устранение неполадок с установкой для Microsoft Defender для конечной точки в macOS.
Настройка из командной строки
Поддерживаемые типы выходных данных
Поддерживает типы выходных данных в формате таблиц и JSON. Для каждой команды есть поведение вывода по умолчанию. Вы можете изменить выходные данные в предпочитаемом формате вывода с помощью следующих команд:
-output json
-output table
Важные задачи, такие как управление параметрами продукта и запуск проверки по запросу, можно выполнить с помощью командной строки:
| Группа | Сценарий | Command |
|---|---|---|
| Конфигурация | Включение и отключение антивирусной программы в пассивном режиме | mdatp config passive-mode --value [enabled/disabled] |
| Конфигурация | Включение и отключение защиты в режиме реального времени | mdatp config real-time-protection --value [enabled/disabled] |
| Конфигурация | Включение и отключение мониторинга поведения | mdatp config behavior-monitoring --value [enabled/disabled] |
| Конфигурация | Включение и отключение облачной защиты | mdatp config cloud --value [enabled/disabled] |
| Конфигурация | Включение и отключение диагностика продукта | mdatp config cloud-diagnostic --value [enabled/disabled] |
| Конфигурация | Включение и отключение автоматической отправки примеров | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| Конфигурация | Включение, аудит и отключение защиты от ПС | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| Конфигурация | Добавление и удаление исключения антивирусной программы для процесса |
mdatp exclusion process [add/remove] --path [path-to-process]или mdatp exclusion process [add\|remove] --name [process-name] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для файла | mdatp exclusion file [add/remove] --path [path-to-file] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для каталога | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| Конфигурация | Добавление и удаление исключения антивирусной программы для расширения файла | mdatp exclusion extension [add/remove] --name [extension] |
| Конфигурация | Список всех исключений антивирусной программы | mdatp exclusion list |
| Конфигурация | Настройка степени параллелизма для проверок по запросу | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Конфигурация | Включение и отключение сканирования после обновлений аналитики безопасности | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Конфигурация | Включение и отключение сканирования архивов (только для проверки по запросу) | mdatp config scan-archives --value [enabled/disabled] |
| Конфигурация | Включение и отключение вычисления хэша файлов | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Защита | Сканирование пути | mdatp scan custom --path [path] [--ignore-exclusions] |
| Защита | Быстрая проверка | mdatp scan quick |
| Защита | Выполнить полное сканирование | mdatp scan full |
| Защита | Отмена текущей проверки по запросу | mdatp scan cancel |
| Защита | Запрос обновления аналитики безопасности | mdatp definitions update |
| Конфигурация | Добавление имени угрозы в список разрешенных | mdatp threat allowed add --name [threat-name] |
| Конфигурация | Удаление имени угрозы из списка разрешенных | mdatp threat allowed remove --name [threat-name] |
| Конфигурация | Список всех разрешенных имен угроз | mdatp threat allowed list |
| Журнал защиты | Печать полного журнала защиты | mdatp threat list |
| Журнал защиты | Получение сведений об угрозах | mdatp threat get --id [threat-id] |
| Управление карантином | Вывод списка всех файлов, помещенных в карантин | mdatp threat quarantine list |
| Управление карантином | Удаление всех файлов из карантина | mdatp threat quarantine remove-all |
| Управление карантином | Добавление файла, обнаруженного как угроза, в карантин | mdatp threat quarantine add --id [threat-id] |
| Управление карантином | Удаление файла, обнаруженного как угроза, из карантина | mdatp threat quarantine remove --id [threat-id] |
| Управление карантином | Восстановите файл из карантина. Доступно в Defender для конечной точки версии до 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Управление карантином | Восстановите файл из карантина с помощью идентификатора угрозы. Доступно в Defender для конечной точки версии 101.23092.0012 или более поздней. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Управление карантином | Восстановите файл из карантина с помощью исходного пути угрозы. Доступно в Defender для конечной точки версии 101.23092.0012 или более поздней. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Конфигурация защиты сети | Настройка уровня принудительного применения защиты сети | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| Управление защитой сети | Проверка успешной работы защиты сети | mdatp health --field network_protection_status |
| Управление устройствами | Включено ли управление устройствами и что такое принудительное применение по умолчанию? | mdatp device-control policy preferences list |
| Управление устройствами | Какая политика управления устройствами включена? | mdatp device-control policy rules list |
| Управление устройствами | Какие группы политик управления устройствами включены? | mdatp device-control policy groups list |
| Конфигурация | Включение и отключение защиты от потери данных | mdatp config data_loss_prevention --value [enabled/disabled] |
| Диагностика | Изменение уровня журнала | mdatp log level set --level [error/warning/info/verbose] |
| Диагностика | Создание журналов диагностики | mdatp diagnostic create --path [directory] |
| Работоспособность | Проверка работоспособности продукта | mdatp health |
| Работоспособность | Проверка определенного атрибута продукта | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | Исключения списка EDR (корневой каталог) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | Установка и удаление тега, поддерживается только группа | mdatp edr tag set --name GROUP --value [name] |
| EDR | Удаление тега группы с устройства | mdatp edr tag remove --tag-name [name] |
| EDR | Добавление идентификатора группы | mdatp edr group-ids --group-id [group] |
Включение автозаполнения
Чтобы включить автозавершение в bash, выполните следующую команду и перезапустите сеанс терминала:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
Чтобы включить автозавершение в zsh, выполните приведенные далее действия.
Проверьте, включена ли автозавершение на устройстве:
cat ~/.zshrc | grep autoloadЕсли предыдущая команда не дает никаких выходных данных, можно включить автозаполнения с помощью следующей команды:
echo "autoload -Uz compinit && compinit" >> ~/.zshrcВыполните следующие команды, чтобы включить автозавершение для Microsoft Defender для конечной точки в macOS и перезапустите сеанс терминала:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
Каталог карантина Microsoft Defender для конечной точки клиента
/Library/Application Support/Microsoft/Defender/quarantine/содержит файлы, помещенные в карантин .mdatp Файлы именуются в честь идентификатора отслеживания угроз. Текущие идентификаторы отслеживания отображаются с mdatp threat listпомощью .
Удаление
Существует несколько способов удаления Microsoft Defender для конечной точки в macOS. Хотя централизованно управляемое удаление доступно в JAMF, оно пока недоступно для Microsoft Intune.
Для удаления всех Microsoft Defender для конечной точки в macOS требуется следующее:
Создайте тег устройства, назовите его списанным и назначьте его macOS, где удаляется Microsoft Defender для macOS.
Создайте группу устройств и присвойте ей имя (например, списанный macOS) и назначьте группу пользователей, которая должна иметь возможность видеть ее.
Примечание. Шаги 1 и 2 являются необязательными, если вы не хотите, чтобы эти устройства были сняты с учета в разделе "Инвентаризация устройств" в течение 180 дней.
Удалите политики "Настройка параметров", содержащие защиту от незаконного изменения, или с помощью настройки вручную.
Отключение каждого устройства для каждого устройства, отличного от Windows.
Удаление Microsoft Defender для конечной точки для приложений macOS
Удалите устройство из группы для политик расширения системы , если для их настройки использовался MDM.
Интерактивное удаление
- Откройте приложение Finder>. Щелкните правой кнопкой мыши Microsoft Defender для конечной точки и выберите Переместить в корзину.
Из командной строки
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
Использование JAMF Pro
Чтобы удалить Microsoft Defender для конечной точки в macOS с помощью JAMF Pro, отправьте профиль отключения.
Профиль отключения должен быть отправлен без каких-либо изменений, а доменное имя предпочтения должно иметь значение com.microsoft.wdav.atp.offboarding, как показано на следующем рисунке:
Примечание.
Если у вас возникли проблемы с удалением Defender для конечной точки на Компьютере Mac и вы видите в отчетах элемент для расширения безопасности Microsoft Defender конечной точки, выполните следующие действия.
- Переустановите приложение Microsoft Defender.
- Перетащите Microsoft Defender.app в корзину.
- Выполните следующую команду:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook. - Перезапустите устройство.
Портал Microsoft Defender
При обнаружении угроз ваша команда безопасности может просматривать обнаруженные обнаружения и при необходимости принимать меры реагирования на устройстве на портале Microsoft Defender (https://security.microsoft.com). Microsoft Defender объединяет защиту, обнаружение, исследование и реагирование на угрозы в центральном расположении. Дополнительные сведения см. в следующих источниках:
- Обзор обнаружения и нейтрализации атак на конечные точки
- Блог Tech Community: Теперь появились возможности EDR для macOS
- Обзор портала Microsoft Defender
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.