Планирование проверок с помощью Microsoft Defender для конечной точки в macOS
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Планирование сканирования, встроенного в Microsoft Defender для конечной точки в macOS
Хотя вы можете начать проверку на угрозы в любое время с помощью Microsoft Defender для конечной точки, ваше предприятие может извлечь выгоду из запланированных или временных проверок. Например, можно запланировать сканирование в начале каждого рабочего дня или недели.
Существует три типа запланированных проверок, которые можно настроить: ежечасные, ежедневные и еженедельные проверки. Ежечасные и ежедневные запланированные проверки всегда выполняются как быстрые проверки. Еженедельные проверки можно настроить как быстрые, так и полные проверки. Можно одновременно выполнять все три типа запланированных проверок. См. примеры в этой статье.
Предварительные требования:
- Версия обновления платформы: 101.23122.0005 или более позднюю
Планирование сканирования с помощью Microsoft Defender для конечной точки в macOS
Вы можете создать запланированное сканирование для macOS, встроенное в Microsoft Defender для конечной точки в macOS.
Дополнительные сведения о формате файла, используемом .plist здесь, см. в разделе Сведения о файлах списка свойств на официальном веб-сайте разработчика Apple.
В следующем примере показана ежедневная и (или) еженедельная конфигурация для запланированной проверки в macOS.
Совет
Расписания основаны на локальном часовом поясе устройства.
| Параметр | Допустимые значения для этого параметра: |
|---|---|
scheduledScan |
enabled или disabled |
scanType |
quick или full |
ignoreExclusions |
true или false |
| lowPriorityScheduledScan |
true или false |
dayOfWeek |
Диапазон находится между 0 и 8. - 0:Каждодневный- 1:Воскресенье- 2:Понедельник- 3:Вторник- 4:Среда- 5:Четверг- 6:Пятница- 7:Суббота- 8:Никогда |
timeOfDay |
Указывает время суток в виде числа minutes after midnight, для выполнения запланированной проверки. Время относится к местному времени на компьютере. Если не указать значение для этого параметра, запланированная проверка выполняется по умолчанию в два часа после полуночи. |
interval |
0 (никогда), every 1 (час) до every 24 (часы, одно сканирование в день) |
randomizeScanStartTime |
Применимо только для ежедневных быстрых проверок или еженедельных быстрых и полных проверок. Случайный выбор времени начала сканирования до указанного количества часов. Например, если сканирование запланировано на 14:00 и randomizeScanStartTime равно 2, сканирование начинается в случайное время с 14:00 до 16:00. |
Запланированное сканирование выполняется с датой, временем и частотой, определенными в .plist
Пример 1. Планирование ежедневной быстрой проверки и еженедельной полной проверки с помощью plist
В следующем примере настройка ежедневной быстрой проверки выполняется через 885 минут после полуночи (14:45). Еженедельная конфигурация настроена для запуска полной проверки в среду в 880 минут после полуночи (14:40). Кроме того, он будет игнорировать исключения и выполнять сканирование с низким приоритетом.
В следующем коде показана схема, используемая для планирования проверок в соответствии с требованиями, упомянутыми ранее.
- Откройте текстовый редактор и используйте этот пример в качестве руководства по собственному запланированному файлу сканирования.
Для Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Сохраните файл как
com.microsoft.wdav.mobileconfig.
Для JamF и других сторонних MDM
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Сохраните файл как
com.microsoft.wdav.plist.Убедитесь, что запланированное сканирование настроено с помощью параметра "Задать предпочтения".
mdatp health --details scheduled_scanВ результатах вы увидите [managed].
Пример 2. Планирование ежечасной быстрой проверки, ежедневной быстрой проверки и еженедельной полной проверки с помощью plist
В следующем примере почасовая быстрая проверка будет выполняться каждые 6 часов, конфигурация ежедневной быстрой проверки будет выполняться через 885 минут после полуночи (14:45), а еженедельная полная проверка будет выполняться по средам в 880 минут после полуночи (14:40).
Для Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Сохраните файл как
com.microsoft.wdav.mobileconfig.
Для JamF и других сторонних MDM
- Откройте текстовый редактор и используйте этот пример.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Сохраните файл как
com.microsoft.wdav.plist.Убедитесь, что запланированное сканирование настроено с помощью параметра "Задать предпочтения".
mdatp health --details scheduled_scanВ результатах вы увидите [managed].
Вариант 3. Настройка запланированных проверок с помощью средства CLI
Чтобы включить функцию запланированного сканирования, выполните приведенные далее действия.
| Версия | Command |
|---|---|
| Версия 101.23122.x или более поздняя | sudo mdatp config scheduled-scan settings feature --value enabled |
Чтобы запланировать почасовую быструю проверку, выполните приведенные далее действия.
| Версия | Command |
|---|---|
| Версия 101.23122.x или более поздняя | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Чтобы запланировать ежедневные быстрые проверки, выполните приведенные далее действия.
| Версия | Command |
|---|---|
| Версия 101.23122.x или более поздняя | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Чтобы запланировать еженедельные проверки, выполните приведенные далее действия.
| Версия | Command |
|---|---|
| Версия 101.23122.x или более поздняя | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Для других параметров конфигурации:
Чтобы проверка для обновления определений перед запланированными проверками:
sudo mdatp config scheduled-scan settings check-for-definitions --value trueЧтобы использовать низкоприоритетные потоки для запланированного сканирования:
sudo mdatp config scheduled-scan settings low-priority --value true
Проверка выполнения запланированной проверки
Используйте следующую команду:
mdatp scan list
\<snip\>
Важно!
Запланированные проверки не выполняются в запланированное время, пока устройство находится в спячем режиме. Вместо этого запланированные проверки выполняются, когда устройство возобновляет работу из спящего режима. Если устройство отключено, проверка выполняется в следующее запланированное время сканирования.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.