Modo de solução de problemas no Microsoft Defender para Ponto de Extremidade no macOS
Aplica-se a:
- Microsoft Defender XDR
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Ponto de Extremidade no macOS
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Este artigo descreve como habilitar o modo de solução de problemas no Microsoft Defender para Ponto de Extremidade no macOS para que os administradores possam solucionar problemas de vários recursos Microsoft Defender Antivírus temporariamente, mesmo que as políticas organizacionais gerenciem os dispositivos.
Por exemplo, se a proteção contra adulteração estiver habilitada, determinadas configurações não poderão ser modificadas ou desativadas, mas você poderá usar o modo de solução de problemas no dispositivo para editar essas configurações temporariamente.
O modo de solução de problemas é desabilitado por padrão e exige que você o ative para um dispositivo (e/ou grupo de dispositivos) por um tempo limitado. O modo de solução de problemas é exclusivamente um recurso somente empresarial e requer acesso a Microsoft Defender portal.
O que você precisa saber antes de começar
Durante o modo de solução de problemas, você pode:
Use Microsoft Defender para Ponto de Extremidade na solução de problemas funcionais do macOS /compatibilidade do aplicativo (falsos positivos).
Os administradores locais, com permissões apropriadas, podem alterar as seguintes configurações bloqueadas de política em pontos de extremidade individuais:
Setting Habilitar Desabilitar/Remover Real-Time Proteção/Modo Passivo/Sob Demanda mdatp config real-time-protection --value enabled
mdatp config real-time-protection --value disabled
Proteção de Rede mdatp config network-protection enforcement-level --value block
mdatp config network-protection enforcement-level --value disabled
realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled
mdatp config real-time-protection-statistics --value disabled
tags mdatp edr tag set --name GROUP --value [name]
mdatp edr tag remove --tag-name [name]
groupIds mdatp edr group-ids --group-id [group]
DLP do ponto de extremidade mdatp config data_loss_prevention --value enabled
mdatp config data_loss_prevention --value disabled
Durante o modo de solução de problemas, você não pode:
- Desabilite a proteção contra adulteração para Microsoft Defender para Ponto de Extremidade no macOS.
- Desinstale o Microsoft Defender para Ponto de Extremidade no macOS.
Pré-requisitos
- Versão com suporte do macOS para Microsoft Defender para Ponto de Extremidade.
- Microsoft Defender para Ponto de Extremidade deve ser registrado pelo locatário e ativo no dispositivo.
- Permissões para "Gerenciar configurações de segurança na Central de Segurança" em Microsoft Defender para Ponto de Extremidade.
- Versão atualização da plataforma: 101.23122.0005 ou mais recente.
Habilitar o modo de solução de problemas no macOS
Acesse o portal Microsoft Defender e entre.
Navegue até a página do dispositivo que você gostaria de ativar o modo de solução de problemas. Em seguida, selecione as reticências(...) e selecione Ativar o modo de solução de problemas.
Observação
A opção Ativar o modo de solução de problemas está disponível em todos os dispositivos, mesmo que o dispositivo não atenda aos pré-requisitos para o modo de solução de problemas.
Leia as informações exibidas no painel e, depois de estar pronto, selecione Enviar para confirmar se deseja ativar o modo de solução de problemas para esse dispositivo.
Você verá que pode levar alguns minutos para que a alteração entre em vigor o texto que está sendo exibido. Durante esse tempo, quando você selecionar as reticências novamente, verá que o modo Ativar solução de problemas está pendente .
Depois de concluída, a página do dispositivo mostra que o dispositivo agora está no modo de solução de problemas.
Se o usuário final estiver conectado no dispositivo macOS, ele verá o seguinte texto:
O modo de solução de problemas foi iniciado. Esse modo permite que você altere temporariamente as configurações gerenciadas pelo administrador. Expira em YEAR-MM-DDTHH:MM:SSZ.
Clique em OK.
Depois de habilitado, você pode testar as diferentes opções de linha de comando que podem ser agregadas no modo de solução de problemas (Modo TS).
Por exemplo, quando você usa o
mdatp config real-time-protection --value disabled
comando para desabilitar a proteção em tempo real, será solicitado que você insira sua senha. Selecione OK depois de inserir sua senha.O relatório de saída semelhante à captura de tela a seguir será exibido na execução da integridade do mdatp com
real_time_protection_enabled
como "false" etamper_protection
como "block".
Consultas de caça avançadas para detecção
Há algumas consultas de caça avançadas predefinidas para dar visibilidade aos eventos de solução de problemas que estão ocorrendo em seu ambiente. Você pode usar essas consultas para criar regras de detecção para gerar alertas quando os dispositivos estão no modo de solução de problemas.
Obter eventos de solução de problemas para um determinado dispositivo
Você pode usar a consulta a seguir para pesquisar deviceId
ou deviceName
comentando as respectivas linhas.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Dispositivos atualmente no modo de solução de problemas
Você pode encontrar os dispositivos que estão atualmente no modo de solução de problemas usando a seguinte consulta:
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Contagem de instâncias de modo de solução de problemas por dispositivo
Você pode encontrar o número de instâncias de modo de solução de problemas para um dispositivo usando a seguinte consulta:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Contagem total
Você pode saber a contagem total de instâncias de modo de solução de problemas usando a seguinte consulta:
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Conteúdo recomendado
- Microsoft Defender XDR para Ponto de Extremidade no Mac
- Microsoft Defender XDR para integração do Ponto de Extremidade ao Microsoft Defender XDR para Aplicativos de Nuvem
- Conhecer os recursos inovadores no Microsoft Edge
- Proteger sua rede
- Ativar a proteção de rede
- Proteção da Web
- Criar indicadores
- Filtragem de conteúdo da Web
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.