Schemalägga genomsökningar med Microsoft Defender för Endpoint på macOS
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Schemalägga en inbyggd genomsökning Microsoft Defender för Endpoint på macOS
Du kan starta en hotgenomsökning när som helst med Microsoft Defender för Endpoint, men ditt företag kan dra nytta av schemalagda eller tidsindelade genomsökningar. Du kan till exempel schemalägga en genomsökning så att den körs i början av varje arbetsdag eller vecka.
Det finns tre typer av schemalagda genomsökningar som kan konfigureras: genomsökningar per timme, varje dag och varje vecka. Schemalagda genomsökningar varje timme och varje dag körs alltid som snabbgenomsökningar. Genomsökningar varje vecka kan konfigureras som antingen snabba eller fullständiga genomsökningar. Det går att ha alla tre typerna av schemalagda genomsökningar samtidigt. Se exemplen i den här artikeln.
Förutsättningar:
- Plattformsuppdateringsversion: 101.23122.0005 eller senare
Schemalägga en genomsökning med Microsoft Defender för Endpoint på macOS
Du kan skapa en schemalagd genomsökning för din macOS, som är inbyggd för att Microsoft Defender för Endpoint på macOS.
Mer information om filformatet .plist som används här finns i About Information Property List Files på den officiella Apple-utvecklarwebbplatsen.
Följande exempel visar den dagliga och/eller veckovisa konfigurationen för den schemalagda genomsökningen på macOS.
Tips
Scheman baseras på enhetens lokala tidszon.
| Parameter | Godkända värden för den här parametern är: |
|---|---|
scheduledScan |
enabled eller disabled |
scanType |
quick eller full |
ignoreExclusions |
true eller false |
| lowPriorityScheduledScan |
true eller false |
dayOfWeek |
Intervallet är mellan 0 och 8. - 0:Vardaglig- 1:Söndag- 2:Måndag- 3:Tisdag- 4:Onsdag- 5:Torsdag- 6:Fredag- 7:Lördag- 8:Aldrig |
timeOfDay |
Anger tid på dagen, som antalet minutes after midnight, för att utföra en schemalagd genomsökning. Tiden refererar till den lokala tiden på datorn. Om du inte anger något värde för den här parametern körs en schemalagd genomsökning vid en standardtid på två timmar efter midnatt. |
interval |
0 (aldrig), every 1 (timme) till every 24 (timmar, en genomsökning per dag) |
randomizeScanStartTime |
Gäller endast för dagliga snabbgenomsökningar eller veckovisa snabba/fullständiga genomsökningar. Randomisera starttiden för genomsökningen med upp till angivet antal timmar. Om en genomsökning till exempel är schemalagd till 14:00 och randomizeScanStartTime är inställd på 2, påbörjas genomsökningen vid en slumpmässig tidpunkt mellan 14:00 och 16:00. |
Den schemalagda genomsökningen körs på det datum, den tid och den frekvens som du definierade i .plist
Exempel 1: Schemalägga en daglig snabbsökning och en fullständig genomsökning varje vecka med hjälp av en plist
I följande exempel är den dagliga snabbgenomsökningskonfigurationen inställd på att köras 885 minuter efter midnatt (14:45). Veckokonfigurationen är inställd på att köra en fullständig genomsökning på onsdag klockan 880 minuter efter midnatt (14:40). Och den är inställd på att ignorera undantag och köra en genomsökning med låg prioritet.
Följande kod visar det schema som du behöver använda för att schemalägga genomsökningar enligt de krav som nämnts tidigare.
- Öppna en textredigerare och använd det här exemplet som en guide för din egen schemalagda genomsökningsfil.
För Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Spara filen som
com.microsoft.wdav.mobileconfig.
För JamF och andra tredjeparts-MDM:er
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Spara filen som
com.microsoft.wdav.plist.Kontrollera att den schemalagda genomsökningen har konfigurerats via en "Ange inställning"
mdatp health --details scheduled_scanI resultatet bör du kunna se [hanterad].
Exempel 2: Schemalägga en snabbsökning per timme, en daglig snabbsökning och en fullständig genomsökning varje vecka med hjälp av en plist
I följande exempel körs en snabbsökning varje timme var 6:e timme, en daglig snabbsökningskonfiguration är inställd på att köras 885 minuter efter midnatt (14:45) och en veckovis fullständig genomsökning körs på onsdagar kl. 880 minuter efter midnatt (14:40).
För Intune:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Spara filen som
com.microsoft.wdav.mobileconfig.
För JamF och andra tredjeparts-MDM:er
- Öppna en textredigerare och använd det här exemplet.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Spara filen som
com.microsoft.wdav.plist.Kontrollera att den schemalagda genomsökningen har konfigurerats via en "Ange inställning"
mdatp health --details scheduled_scanI resultatet bör du kunna se [hanterad].
Alternativ 3: Konfigurera schemalagda genomsökningar via CLI-verktyget
Så här aktiverar du funktionen för schemalagd genomsökning:
| Version | Kommando |
|---|---|
| Version 101.23122.x eller senare | sudo mdatp config scheduled-scan settings feature --value enabled |
Så här schemalägger du snabbgenomsökningar varje timme:
| Version | Kommando |
|---|---|
| Version 101.23122.x eller senare | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Så här schemalägger du dagliga snabbgenomsökningar:
| Version | Kommando |
|---|---|
| Version 101.23122.x eller senare | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Så här schemalägger du veckogenomsökningar:
| Version | Kommando |
|---|---|
| Version 101.23122.x eller senare | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
För andra konfigurationsalternativ:
Så här söker du efter definitionsuppdateringar före schemalagda genomsökningar:
sudo mdatp config scheduled-scan settings check-for-definitions --value trueSå här använder du trådar med låg prioritet för schemalagd genomsökning:
sudo mdatp config scheduled-scan settings low-priority --value true
Kontrollera att den schemalagda genomsökningen kördes
Använd följande kommando:
mdatp scan list
\<snip\>
Viktigt
Schemalagda genomsökningar körs inte vid den schemalagda tiden när enheten är i viloläge. I stället körs schemalagda genomsökningar när enheten återupptas från viloläge. Om enheten är avstängd körs genomsökningen vid nästa schemalagda genomsökningstid.
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.