Modo de solução de problemas no Microsoft Defender para Ponto de Extremidade no macOS

Artigo
04/28/2024

Aplica-se a:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este artigo descreve como habilitar o modo de solução de problemas no Microsoft Defender para Ponto de Extremidade no macOS para que os administradores possam solucionar problemas de vários recursos Microsoft Defender Antivírus temporariamente, mesmo que as políticas organizacionais gerenciem os dispositivos.

Por exemplo, se a proteção contra adulteração estiver habilitada, determinadas configurações não poderão ser modificadas ou desativadas, mas você poderá usar o modo de solução de problemas no dispositivo para editar essas configurações temporariamente.

O modo de solução de problemas é desabilitado por padrão e exige que você o ative para um dispositivo (e/ou grupo de dispositivos) por um tempo limitado. O modo de solução de problemas é exclusivamente um recurso somente empresarial e requer acesso a Microsoft Defender portal.

O que você precisa saber antes de começar

Durante o modo de solução de problemas, você pode:

Use Microsoft Defender para Ponto de Extremidade na solução de problemas funcionais do macOS /compatibilidade do aplicativo (falsos positivos).

Os administradores locais, com permissões apropriadas, podem alterar as seguintes configurações bloqueadas de política em pontos de extremidade individuais:

Setting	Habilitar	Desabilitar/Remover
Real-Time Proteção/Modo Passivo/Sob Demanda	`mdatp config real-time-protection --value enabled`	`mdatp config real-time-protection --value disabled`
Proteção de Rede	`mdatp config network-protection enforcement-level --value block`	`mdatp config network-protection enforcement-level --value disabled`
realTimeProtectionStatistics	`mdatp config real-time-protection-statistics --value enabled`	`mdatp config real-time-protection-statistics --value disabled`
tags	`mdatp edr tag set --name GROUP --value [name]`	`mdatp edr tag remove --tag-name [name]`
groupIds	`mdatp edr group-ids --group-id [group]`
DLP do ponto de extremidade	`mdatp config data_loss_prevention --value enabled`	`mdatp config data_loss_prevention --value disabled`

Durante o modo de solução de problemas, você não pode:

Desabilite a proteção contra adulteração para Microsoft Defender para Ponto de Extremidade no macOS.
Desinstale o Microsoft Defender para Ponto de Extremidade no macOS.

Pré-requisitos

Versão com suporte do macOS para Microsoft Defender para Ponto de Extremidade.
Microsoft Defender para Ponto de Extremidade deve ser registrado pelo locatário e ativo no dispositivo.
Permissões para "Gerenciar configurações de segurança na Central de Segurança" em Microsoft Defender para Ponto de Extremidade.
Versão atualização da plataforma: 101.23122.0005 ou mais recente.

Habilitar o modo de solução de problemas no macOS

Acesse o portal Microsoft Defender e entre.
Navegue até a página do dispositivo que você gostaria de ativar o modo de solução de problemas. Em seguida, selecione as reticências(...) e selecione Ativar o modo de solução de problemas.

Observação

A opção Ativar o modo de solução de problemas está disponível em todos os dispositivos, mesmo que o dispositivo não atenda aos pré-requisitos para o modo de solução de problemas.
Leia as informações exibidas no painel e, depois de estar pronto, selecione Enviar para confirmar se deseja ativar o modo de solução de problemas para esse dispositivo.
Você verá que pode levar alguns minutos para que a alteração entre em vigor o texto que está sendo exibido. Durante esse tempo, quando você selecionar as reticências novamente, verá que o modo Ativar solução de problemas está pendente .
Depois de concluída, a página do dispositivo mostra que o dispositivo agora está no modo de solução de problemas.

Se o usuário final estiver conectado no dispositivo macOS, ele verá o seguinte texto:

O modo de solução de problemas foi iniciado. Esse modo permite que você altere temporariamente as configurações gerenciadas pelo administrador. Expira em YEAR-MM-DDTHH:MM:SSZ.

Clique em OK.
Depois de habilitado, você pode testar as diferentes opções de linha de comando que podem ser agregadas no modo de solução de problemas (Modo TS).

Por exemplo, quando você usa o mdatp config real-time-protection --value disabled comando para desabilitar a proteção em tempo real, será solicitado que você insira sua senha. Selecione OK depois de inserir sua senha.

O relatório de saída semelhante à captura de tela a seguir será exibido na execução da integridade do mdatp com real_time_protection_enabled como "false" e tamper_protection como "block".

Consultas de caça avançadas para detecção

Há algumas consultas de caça avançadas predefinidas para dar visibilidade aos eventos de solução de problemas que estão ocorrendo em seu ambiente. Você pode usar essas consultas para criar regras de detecção para gerar alertas quando os dispositivos estão no modo de solução de problemas.

Obter eventos de solução de problemas para um determinado dispositivo

Você pode usar a consulta a seguir para pesquisar deviceId ou deviceName comentando as respectivas linhas.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos atualmente no modo de solução de problemas

Você pode encontrar os dispositivos que estão atualmente no modo de solução de problemas usando a seguinte consulta:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Contagem de instâncias de modo de solução de problemas por dispositivo

Você pode encontrar o número de instâncias de modo de solução de problemas para um dispositivo usando a seguinte consulta:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Contagem total

Você pode saber a contagem total de instâncias de modo de solução de problemas usando a seguinte consulta:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Conteúdo recomendado

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.

Compartilhar via