Modalità di risoluzione dei problemi in Microsoft Defender per endpoint in macOS

Articolo
04/28/2024

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Questo articolo descrive come abilitare la modalità di risoluzione dei problemi in Microsoft Defender per endpoint in macOS in modo che gli amministratori possano risolvere temporaneamente varie funzionalità di antivirus Microsoft Defender, anche se i criteri dell'organizzazione gestiscono i dispositivi.

Ad esempio, se la protezione da manomissione è abilitata, alcune impostazioni non possono essere modificate o disattivate, ma è possibile usare la modalità di risoluzione dei problemi nel dispositivo per modificare temporaneamente tali impostazioni.

La modalità di risoluzione dei problemi è disabilitata per impostazione predefinita e richiede l'attivazione per un dispositivo (e/o un gruppo di dispositivi) per un periodo di tempo limitato. La modalità di risoluzione dei problemi è esclusivamente una funzionalità solo aziendale e richiede l'accesso a Microsoft Defender portale.

Cosa devi sapere prima di iniziare

Durante la modalità di risoluzione dei problemi, è possibile:

Usare Microsoft Defender per endpoint nella risoluzione dei problemi funzionali macOS /compatibilità dell'applicazione (falsi positivi).

Gli amministratori locali, con le autorizzazioni appropriate, possono modificare le configurazioni bloccate dei criteri seguenti nei singoli endpoint:

Impostazione	Attivazione	Disabilita/Rimuovi
protezione Real-Time/modalità passiva/su richiesta	`mdatp config real-time-protection --value enabled`	`mdatp config real-time-protection --value disabled`
Protezione di rete	`mdatp config network-protection enforcement-level --value block`	`mdatp config network-protection enforcement-level --value disabled`
realTimeProtectionStatistics	`mdatp config real-time-protection-statistics --value enabled`	`mdatp config real-time-protection-statistics --value disabled`
tag	`mdatp edr tag set --name GROUP --value [name]`	`mdatp edr tag remove --tag-name [name]`
groupIds	`mdatp edr group-ids --group-id [group]`
DLP endpoint	`mdatp config data_loss_prevention --value enabled`	`mdatp config data_loss_prevention --value disabled`

Durante la modalità di risoluzione dei problemi, non è possibile:

Disabilitare la protezione da manomissione per Microsoft Defender per endpoint in macOS.
Disinstallare il Microsoft Defender per endpoint in macOS.

Prerequisiti

Versione supportata di macOS per Microsoft Defender per endpoint.
Microsoft Defender per endpoint deve essere registrato dal tenant e attivo nel dispositivo.
Autorizzazioni per "Gestire le impostazioni di sicurezza nel Centro sicurezza" in Microsoft Defender per endpoint.
Versione dell'aggiornamento della piattaforma: 101.23122.0005 o successiva.

Abilitare la modalità di risoluzione dei problemi in macOS

Passare al portale di Microsoft Defender e accedere.
Passare alla pagina del dispositivo che si vuole attivare la modalità di risoluzione dei problemi. Selezionare quindi i puntini di sospensione (...) e selezionare Attiva modalità di risoluzione dei problemi.

Nota

L'opzione Attiva modalità di risoluzione dei problemi è disponibile in tutti i dispositivi, anche se il dispositivo non soddisfa i prerequisiti per la modalità di risoluzione dei problemi.
Leggere le informazioni visualizzate nel riquadro e, una volta pronti, selezionare Invia per confermare che si vuole attivare la modalità di risoluzione dei problemi per il dispositivo.
Si noterà che potrebbero essere necessari alcuni minuti prima che la modifica dia effetto al testo visualizzato. Durante questo periodo, quando si selezionano di nuovo i puntini di sospensione, verrà visualizzata l'opzione Attiva risoluzione dei problemi in sospeso disattivata.
Al termine, la pagina del dispositivo mostra che il dispositivo è ora in modalità di risoluzione dei problemi.

Se l'utente finale è connesso nel dispositivo macOS, verrà visualizzato il testo seguente:

La modalità di risoluzione dei problemi è stata avviata. Questa modalità consente di modificare temporaneamente le impostazioni gestite dall'amministratore. Scade in YEAR-MM-DDTHH:MM:SSZ.

Seleziona OK.
Una volta abilitata, è possibile testare le diverse opzioni della riga di comando che possono essere attivate nella modalità di risoluzione dei problemi (modalità TS).

Ad esempio, quando si usa il mdatp config real-time-protection --value disabled comando per disabilitare la protezione in tempo reale, verrà richiesto di immettere la password. Selezionare OK dopo aver immesso la password.

Il report di output simile allo screenshot seguente verrà visualizzato durante l'esecuzione dell'integrità di mdatp con real_time_protection_enabled il valore "false" e tamper_protection "block".

Query di ricerca avanzate per il rilevamento

Esistono alcune query di ricerca avanzate predefinite per offrire visibilità sugli eventi di risoluzione dei problemi che si verificano nell'ambiente. È possibile usare queste query per creare regole di rilevamento per generare avvisi quando i dispositivi sono in modalità di risoluzione dei problemi.

Ottenere gli eventi di risoluzione dei problemi per un dispositivo specifico

È possibile usare la query seguente per eseguire la ricerca in base deviceId a o deviceName impostando come commento le rispettive righe.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivi attualmente in modalità di risoluzione dei problemi

È possibile trovare i dispositivi attualmente in modalità di risoluzione dei problemi usando la query seguente:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Numero di istanze della modalità di risoluzione dei problemi per dispositivo

È possibile trovare il numero di istanze della modalità di risoluzione dei problemi per un dispositivo usando la query seguente:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Conteggio totale

È possibile conoscere il numero totale di istanze della modalità di risoluzione dei problemi usando la query seguente:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Contenuto consigliato

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.

Condividi tramite