Planen von Überprüfungen mit Microsoft Defender for Endpoint unter macOS

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Planen einer in Microsoft Defender for Endpoint integrierten Überprüfung unter macOS

Während Sie eine Bedrohungsüberprüfung jederzeit mit Microsoft Defender for Endpoint starten können, kann Ihr Unternehmen von geplanten oder zeitgesteuerten Überprüfungen profitieren. Beispielsweise können Sie eine Überprüfung so planen, dass sie am Anfang jedes Arbeitstags oder jeder Woche ausgeführt wird.

Es gibt drei Arten von geplanten Überprüfungen, die konfigurierbar sind: stündliche, tägliche und wöchentliche Überprüfungen. Stündliche und tägliche geplante Überprüfungen werden immer als Schnellscans ausgeführt. Wöchentliche Überprüfungen können als schnelle oder vollständige Überprüfungen konfiguriert werden. Es ist möglich, alle drei Arten von geplanten Überprüfungen gleichzeitig zu verwenden. Weitere Informationen finden Sie in den Beispielen in diesem Artikel.

Voraussetzungen:

Planen einer Überprüfung mit Microsoft Defender for Endpoint unter macOS

Sie können eine geplante Überprüfung für MacOS erstellen, die in Microsoft Defender for Endpoint unter macOS integriert ist.

Weitere Informationen zum .plist hier verwendeten Dateiformat finden Sie unter Informationen zu Eigenschaftenlistendateien auf der offiziellen Apple-Entwicklerwebsite.

Das folgende Beispiel zeigt die tägliche und/oder wöchentliche Konfiguration für die geplante Überprüfung unter macOS.

Tipp

Zeitpläne basieren auf der lokalen Zeitzone des Geräts.

Parameter Folgende Werte sind für diesen Parameter zulässig:
scheduledScan enabled oder disabled
scanType quick oder full
ignoreExclusions true oder false
lowPriorityScheduledScan true oder false
dayOfWeek Der Bereich liegt zwischen 0 und 8.
- 0:Jeden Tag
- 1:Sonntag
- 2:Montag
- 3:Dienstag
- 4:Mittwoch
- 5:Donnerstag
- 6:Freitag
- 7:Samstag
- 8:Nie
timeOfDay Gibt die Tageszeit als Anzahl von minutes after midnightan, um eine geplante Überprüfung durchzuführen. Die Uhrzeit bezieht sich auf die Ortszeit auf dem Computer. Wenn Sie keinen Wert für diesen Parameter angeben, wird eine geplante Überprüfung zu einer Standardzeit von zwei Stunden nach Mitternacht ausgeführt.
interval 0 (nie), every 1 (Stunde) bis every 24 (Stunden, ein Scan pro Tag)
randomizeScanStartTime Gilt nur für tägliche Schnellscans oder wöchentliche Schnell-/Vollscans. Zufällige Angabe der Startzeit der Überprüfung um die angegebene Anzahl von Stunden.
Wenn ein Scan beispielsweise für 14: randomizeScanStartTime 00 Uhr geplant und auf 2 festgelegt ist, beginnt der Scan zu einer zufälligen Zeit zwischen 14 und 16 Uhr.

Ihre geplante Überprüfung wird zu dem Datum, der Uhrzeit und der Häufigkeit ausgeführt, die Sie in Ihrer definiert haben plist.

Beispiel 1: Planen einer täglichen Schnellüberprüfung und einer wöchentlichen vollständigen Überprüfung mithilfe einer plist

Im folgenden Beispiel wird die Konfiguration der täglichen Schnellüberprüfung auf 885 Minuten nach Mitternacht (14:45 Uhr) ausgeführt. Die wöchentliche Konfiguration ist so festgelegt, dass am Mittwoch um 880 Minuten nach Mitternacht (14:40 Uhr) eine vollständige Überprüfung ausgeführt wird. Und es ist so festgelegt, dass Ausschlüsse ignoriert und eine Überprüfung mit niedriger Priorität ausgeführt wird.

Der folgende Code zeigt das Schema, das Sie verwenden müssen, um Überprüfungen gemäß den oben genannten Anforderungen zu planen.

  1. Öffnen Sie einen Text-Editor, und verwenden Sie dieses Beispiel als Leitfaden für Ihre eigene geplante Scandatei.

Für Intune

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>PayloadUUID</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadOrganization</key>
    <string>Microsoft</string>
    <key>PayloadIdentifier</key>
    <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
    <key>PayloadDisplayName</key>
    <string>Microsoft Defender for Endpoint settings</string>
    <key>PayloadDescription</key>
    <string>Microsoft Defender for Endpoint configuration settings</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>PayloadUUID</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadType</key>
            <string>com.microsoft.wdav</string>
            <key>PayloadOrganization</key>
            <string>Microsoft</string>
            <key>PayloadIdentifier</key>
            <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
            <key>PayloadDisplayName</key>
            <string>Microsoft Defender for Endpoint configuration settings</string>
            <key>PayloadDescription</key>
            <string/>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadEnabled</key>
            <true/>
            <key>features</key> 
            <dict>
                <key>scheduledScan</key> 
                <string>enabled</string> 
            </dict> 
            <key>scheduledScan</key> 
            <dict> 
                <key>ignoreExclusions</key> 
                <true/> 
                <key>lowPriorityScheduledScan</key> 
                <true/> 
                <key>dailyConfiguration</key> 
                <dict> 
                    <key>timeOfDay</key> 
                    <integer>880</integer> 
                </dict> 
                <key>weeklyConfiguration</key> 
                <dict> 
                    <key>dayOfWeek</key> 
                    <integer>4</integer> 
                    <key>timeOfDay</key> 
                    <integer>885</integer> 
                    <key>scanType</key> 
                    <string>full</string>
                </dict>
            </dict> 
        </dict>
    </array>
</dict> 
</plist>
  1. Speichern Sie die Datei als com.microsoft.wdav.mobileconfig.

Für JamF und andere MDMs von Drittanbietern

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
    <key>scheduledScan</key> 
    <dict> 
        <key>ignoreExclusions</key> 
        <true/> 
        <key>lowPriorityScheduledScan</key> 
        <true/> 
        <key>dailyConfiguration</key> 
        <dict> 
            <key>timeOfDay</key> 
            <integer>885</integer> 
        </dict> 
        <key>weeklyConfiguration</key> 
        <dict> 
            <key>dayOfWeek</key> 
            <integer>4</integer> 
            <key>timeOfDay</key> 
            <integer>880</integer> 
            <key>scanType</key> 
            <string>full</string> 
        </dict> 
    </dict> 
</dict> 
</plist> 
  1. Speichern Sie die Datei als com.microsoft.wdav.plist.

  2. Überprüfen Sie, ob die geplante Überprüfung über eine "Einstellung festlegen" konfiguriert ist.

    mdatp health --details scheduled_scan
    

    In den Ergebnissen sollte [verwaltet] angezeigt werden.

Beispiel 2: Planen einer stündlichen Schnellüberprüfung, einer täglichen Schnellüberprüfung und einer wöchentlichen vollständigen Überprüfung mithilfe einer plist

Im folgenden Beispiel wird eine stündliche Schnellüberprüfung alle 6 Stunden ausgeführt, eine Konfiguration der täglichen Schnellüberprüfung wird auf 885 Minuten nach Mitternacht (14:45 Uhr) und eine wöchentliche vollständige Überprüfung mittwochs um 880 Minuten nach Mitternacht (14:40 Uhr) ausgeführt.

Für Intune:

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
     <key>PayloadUUID</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadType</key>
     <string>Configuration</string>
     <key>PayloadOrganization</key>
     <string>Microsoft</string>
     <key>PayloadIdentifier</key>
     <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
     <key>PayloadDisplayName</key>
     <string>Microsoft Defender for Endpoint settings</string>
     <key>PayloadDescription</key>
     <string>Microsoft Defender for Endpoint configuration settings</string>
     <key>PayloadVersion</key>
     <integer>1</integer>
     <key>PayloadEnabled</key>
     <true/>
     <key>PayloadRemovalDisallowed</key>
     <true/>
     <key>PayloadScope</key>
     <string>System</string>
     <key>PayloadContent</key>
     <array>
       <dict>
           <key>PayloadUUID</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadType</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadDescription</key>
           <string/>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</array>
</dict>
</plist> 
  1. Speichern Sie die Datei als com.microsoft.wdav.mobileconfig.

Für JamF und andere MDMs von Drittanbietern

  1. Öffnen Sie einen Text-Editor, und verwenden Sie dieses Beispiel.
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>features</key> 
    <dict> 
        <key>scheduledScan</key> 
        <string>enabled</string> 
    </dict> 
<key>scheduledScan</key> 
<dict> 
    <key>ignoreExclusions</key> 
    <true/> 
    <key>lowPriorityScheduledScan</key> 
    <true/> 
    <key>dailyConfiguration</key> 
    <dict> 
        <key>timeOfDay</key> 
        <integer>885</integer> 
        <key>interval</key> 
        <string>1</string> 
    </dict> 
    <key>weeklyConfiguration</key> 
    <dict> 
        <key>dayOfWeek</key> 
        <integer>4</integer> 
        <key>timeOfDay</key> 
        <integer>880</integer> 
        <key>scanType</key> 
        <string>full</string> 
        </dict> 
        </dict> 
    </dict> 
</plist> 
  1. Speichern Sie die Datei als com.microsoft.wdav.plist.

  2. Überprüfen Sie, ob die geplante Überprüfung über eine "Einstellung festlegen" konfiguriert ist.

    mdatp health --details scheduled_scan
    

    In den Ergebnissen sollte [verwaltet] angezeigt werden.

Option 3: Konfigurieren geplanter Überprüfungen über das CLI-Tool

So aktivieren Sie das Feature für die geplante Überprüfung:

Version Befehl
Version 101.23122.x oder höher sudo mdatp config scheduled-scan settings feature --value enabled

So planen Sie stündliche Schnellüberprüfungen:

Version Befehl
Version 101.23122.x oder höher sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\>

Screenshot der stündlich geplanten Überprüfung.

So planen Sie tägliche Schnellüberprüfungen:

Version Befehl
Version 101.23122.x oder höher sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\>

Screenshot: Planen der täglichen Schnellüberprüfung.

So planen Sie wöchentliche Überprüfungen:

Version Befehl
Version 101.23122.x oder höher sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\>

Screenshot: Wöchentliche Überprüfung planen

Weitere Konfigurationsoptionen:

  • So überprüfen Sie vor geplanten Überprüfungen, ob Definitionen aktualisiert werden:

    sudo mdatp config scheduled-scan settings check-for-definitions --value true

  • So verwenden Sie Threads mit niedriger Priorität für geplante Überprüfungen:

    sudo mdatp config scheduled-scan settings low-priority --value true

Überprüfen, ob die geplante Überprüfung ausgeführt wurde

Verwenden Sie den folgenden Befehl:

mdatp scan list

Screenshot des ausgeführten Zeitplans. \<snip\>

Screenshot: Erfolgreiche Ausführung des Zeitplans

Wichtig

Geplante Überprüfungen werden nicht zur geplanten Zeit ausgeführt, während das Gerät im Ruhezustand ist. Stattdessen werden geplante Überprüfungen ausgeführt, wenn das Gerät aus dem Energiesparmodus fortgesetzt wird. Wenn das Gerät ausgeschaltet ist, wird die Überprüfung zum nächsten geplanten Scanzeitpunkt ausgeführt.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.