Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des ressources pour résoudre les problèmes ou configurer Microsoft Defender pour point de terminaison sur Linux. Cet article explique comment collecter des informations de diagnostic, journaliser les problèmes d’installation et configurer Defender pour point de terminaison sur Linux à l’aide de la ligne de commande. Cet article explique également comment désinstaller Defender pour point de terminaison sur Linux.
Collecter des informations de diagnostic
Conseil
Exécutez l’analyseur client Defender pour point de terminaison avec une réponse en direct ou localement sur l’appareil pour collecter des informations de diagnostic à partir de Defender pour point de terminaison sur Linux.
Si vous pouvez reproduire un problème, commencez par augmenter le niveau de journalisation, exécutez le système pendant un certain temps, puis restaurez le niveau de journalisation par défaut.
Augmenter le niveau de journalisation :
mdatp log level set --level debugLog level configured successfullyReproduisez le problème.
Exécutez la commande suivante pour sauvegarder les journaux d’activité de Defender pour point de terminaison. Les fichiers seront stockés dans une archive .zip.
sudo mdatp diagnostic createCette commande affiche également le chemin d’accès du fichier à la sauvegarde une fois l’opération réussie :
Diagnostic file created: <path to file>Niveau de journalisation de restauration :
mdatp log level set --level infoLog level configured successfully
Problèmes d’installation des journaux
Si une erreur se produit pendant l’installation, le programme d’installation signale uniquement une défaillance générale.
Le journal détaillé sera enregistré dans /var/log/microsoft/mdatp/install.log.
Si vous rencontrez des problèmes lors de l’installation, envoyez-nous ce fichier afin que nous puissions vous aider à diagnostiquer la cause.
Configurer à partir de la ligne de commande
Les tâches importantes, telles que le contrôle des paramètres du produit et le déclenchement d’analyses à la demande, peuvent être effectuées à partir de la ligne de commande.
Options globales
Par défaut, l’outil en ligne de commande génère le résultat dans un format lisible par l’utilisateur. En outre, l’outil prend également en charge la sortie du résultat au format JSON, ce qui est utile pour les scénarios d’automatisation. Pour modifier la sortie au format JSON, passez --output json à l’une des commandes ci-dessous.
Commandes prises en charge
Le tableau suivant répertorie les commandes pour certains des scénarios les plus courants. Exécutez mdatp help à partir du terminal pour afficher la liste complète des commandes prises en charge.
| Groupe | Scénario | Command |
|---|---|---|
| Configuration | Activer/désactiver la protection en temps réel | mdatp config real-time-protection --value [enabled\|disabled] |
| Configuration | Activer/désactiver la surveillance du comportement | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Configuration | Activer/désactiver la protection cloud | mdatp config cloud --value [enabled\|disabled] |
| Configuration | Activer/désactiver le diagnostics de produit | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Configuration | Activer/désactiver l’envoi automatique d’exemples | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Configuration | Activer/désactiver le mode passif antivirus | mdatp config passive-mode --value [enabled\|disabled] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour une extension de fichier | mdatp exclusion extension [add\|remove] --name [extension] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour un fichier | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour un répertoire | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Configuration | Ajouter/supprimer une exclusion antivirus pour un processus | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Configuration | Ajouter/supprimer une exclusion globale pour un fichier | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Configuration | Ajouter/supprimer une exclusion globale pour un répertoire | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Configuration | Ajouter/supprimer une exclusion globale pour un processus | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Configuration | Répertorier toutes les exclusions antivirus | mdatp exclusion list |
| Configuration | Ajouter un nom de menace à la liste autorisée | mdatp threat allowed add --name [threat-name] |
| Configuration | Supprimer un nom de menace de la liste autorisée | mdatp threat allowed remove --name [threat-name] |
| Configuration | Répertorier tous les noms de menaces autorisés | mdatp threat allowed list |
| Configuration | Activer la protection puA | mdatp threat policy set --type potentially_unwanted_application --action block |
| Configuration | Désactiver la protection puA | mdatp threat policy set --type potentially_unwanted_application --action off |
| Configuration | Activer le mode d’audit pour la protection puA | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Configuration | Configurer le degré de parallélisme pour les analyses à la demande | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Configuration | Activer/désactiver les analyses après les mises à jour du renseignement de sécurité | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Configuration | Activer/désactiver l’analyse des archives (analyses à la demande uniquement) | mdatp config scan-archives --value [enabled/disabled] |
| Configuration | Activer/désactiver le calcul de hachage de fichier | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Diagnostics | Modifier le niveau du journal | mdatp log level set --level verbose [error|warning|info|verbose] |
| Diagnostics | Générer des journaux de diagnostic | mdatp diagnostic create --path [directory] |
| Diagnostics | Limites de taille pour les journaux de produits conservés | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Intégrité | Vérifier l’intégrité du produit | mdatp health |
| Protection | Analyser un chemin d’accès | mdatp scan custom --path [path] [--ignore-exclusions] |
| Protection | Effectuer une analyse rapide | mdatp scan quick |
| Protection | Effectuer une analyse complète | mdatp scan full |
| Protection | Annuler une analyse à la demande en cours | mdatp scan cancel |
| Protection | Demander une mise à jour du renseignement de sécurité | mdatp definitions update |
| Protection | Restaurer l’intelligence de sécurité sur l’ensemble par défaut d’origine | mdatp definitions restore |
| Historique de protection | Imprimer l’historique de protection complet | mdatp threat list |
| Historique de protection | Obtenir les détails des menaces | mdatp threat get --id [threat-id] |
| Gestion de la quarantaine | Répertorier tous les fichiers mis en quarantaine | mdatp threat quarantine list |
| Gestion de la quarantaine | Supprimer tous les fichiers de la mise en quarantaine | mdatp threat quarantine remove-all |
| Gestion de la quarantaine | Ajouter un fichier détecté comme une menace à la mise en quarantaine | mdatp threat quarantine add --id [threat-id] |
| Gestion de la quarantaine | Supprimer de la quarantaine un fichier détecté comme une menace | mdatp threat quarantine remove --id [threat-id] |
| Gestion de la quarantaine | Restaurer un fichier à partir de la mise en quarantaine. Disponible dans la version de Defender pour point de terminaison antérieure à 101.23092.0012. |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Gestion de la quarantaine | Restaurez un fichier à partir de la quarantaine avec l’ID de menace. Disponible dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure. |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Gestion de la quarantaine | Restaurez un fichier à partir de la quarantaine avec le chemin d’origine de la menace. Disponible dans Defender pour point de terminaison version 101.23092.0012 ou ultérieure. |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Détection et réponse du point de terminaison | Définir la préversion anticipée | mdatp edr early-preview [enabled\|disabled] |
| Détection et réponse du point de terminaison | Définir group-id | mdatp edr group-ids --group-id [group-id] |
| Détection et réponse du point de terminaison | Définir/supprimer une balise, uniquement GROUP pris en charge |
mdatp edr tag set --name GROUP --value [tag] |
| Détection et réponse du point de terminaison | Lister les exclusions (racine) | mdatp edr exclusion list [processes|paths|extensions|all] |
Répertoire de mise en quarantaine pour Defender pour point de terminaison Linux
Le répertoire par défaut pour les fichiers mis en quarantaine par MDATP est /var/opt/microsoft/mdatp/quarantine. Pour de meilleurs résultats, utilisez la commande MDATP threat quarantine pour gérer les fichiers mis en quarantaine, au lieu de déplacer ou de modifier des fichiers directement dans le répertoire de quarantaine. Les opérations de fichiers directes ne sont pas recommandées : utilisez toujours l’interface CLI pour une gestion sécurisée et prise en charge de la quarantaine.
Désinstaller Defender pour point de terminaison sur Linux
Il existe plusieurs façons de désinstaller Defender pour point de terminaison sur Linux. Si vous utilisez un outil de configuration tel que Puppet, suivez les instructions de désinstallation du package pour l’outil de configuration.
Désintégrer les appareils Linux
Pour empêcher les appareils désaffectés de s’afficher dans votre inventaire d’appareils et pour garantir une évaluation de niveau de sécurité plus précise, ajoutez des étiquettes d’appareil aux appareils que vous souhaitez retirer de Defender pour point de terminaison. Sinon, vous verrez ces appareils dans l’inventaire des appareils pendant 180 jours.
Créez une balise d’appareil et nommez la balise
decommissioned. Affectez la balise aux appareils Linux que vous souhaitez retirer de Defender pour point de terminaison.Créez un groupe d’appareils et nommez-le comme .
Decommissioned LinuxAffectez cette balise à un groupe d’utilisateurs approprié.Dans le portail Microsoft Defender, dans le volet de navigation, sélectionnez Paramètres>Hors-bord. Dans le processus Sélectionner le système d’exploitation pour démarrer la désintégration, sélectionnez Serveur Linux, puis sélectionnez une méthode de déploiement.
Ou, si vous utilisez une solution de gestion des appareils non-Microsoft, désactivez l’intégration à Defender pour point de terminaison.
Désinstallez Defender pour point de terminaison sur les appareils.
Désinstallation manuelle
-
sudo yum remove mdatppour RHEL et les variantes (CentOS et Oracle Linux). -
sudo zypper remove mdatppour SLES et les variantes. -
sudo apt-get purge mdatppour les systèmes Ubuntu et Debian. -
sudo dnf remove mdatppour Mariner.
Contenu connexe
- Microsoft Defender pour point de terminaison Linux
- Prérequis pour Microsoft Defender pour point de terminaison sur Linux
- Configurer les paramètres de sécurité dans Microsoft Defender pour point de terminaison sur Linux
- Exécuter l’analyseur client sur Linux
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.