Résoudre les problèmes de performances pour Microsoft Defender pour point de terminaison sur macOS

Cet article fournit des étapes générales qui peuvent être utilisées pour limiter les problèmes de performances liés à Defender pour point de terminaison sur macOS.

Selon les applications que vous exécutez et les caractéristiques de votre appareil, vous pouvez rencontrer des performances non optimales lorsque vous exécutez Microsoft Defender pour point de terminaison sur macOS. En particulier, les applications ou processus système qui accèdent à de nombreuses ressources sur une courte période peuvent entraîner des problèmes de performances dans Defender pour point de terminaison sur macOS.

Résoudre les problèmes de performances à l’aide des statistiques de protection en temps réel

S’applique à :

• Seuls les problèmes de performances liés à Microsoft Defender Antivirus (wdavdaemon_unprivileged).

La protection en temps réel (RTP) est une fonctionnalité de Defender pour point de terminaison sur macOS qui surveille et protège en permanence votre appareil contre les menaces. Il se compose de la surveillance des fichiers et des processus et d’autres heuristiques.

Conditions préalables :

• version Microsoft Defender pour point de terminaison (mise à jour de la plateforme) 100.90.70 ou ultérieure
• Si la protection contre les falsifications est activée en mode bloc, utilisez le mode Résolution des problèmes pour capturer des statistiques de protection en temps réel. Sinon, vous obtenez des résultats null.

Pour résoudre et atténuer les problèmes de performances, procédez comme suit :

1. Désactivez la protection en temps réel à l’aide de l’une des méthodes du tableau suivant, puis observez si les performances s’améliorent. Cette approche permet de déterminer si Microsoft Defender pour point de terminaison sur macOS contribue aux problèmes de performances.

   Gestion des périphériques	Méthode
   L’appareil n’est pas géré par organization	Interface utilisateur : ouvrez Microsoft Defender pour point de terminaison sur macOS et accédez à Gérer les paramètres.
   L’appareil n’est pas géré par organization	Terminal : dans Terminal, exécutez la commande suivante : mdatp config real-time-protection --value disabled
   L’appareil est géré par organization	Consultez Définir des préférences pour Microsoft Defender pour point de terminaison sur macOS.

   Si le problème de performances persiste alors que la protection en temps réel est désactivée, l’origine du problème peut être le composant de détection et de réponse de point de terminaison. Dans ce cas, contactez le support technique pour obtenir des instructions supplémentaires et des mesures d’atténuation.

2. Ouvrez Finder et accédez à Utilitaires d’applications>. Ouvrez le Moniteur d’activité et analysez les applications qui utilisent les ressources de votre système. Les exemples classiques incluent les compilateurs et les éditeurs de mises à jour logicielles.

3. Cette fonctionnalité nécessite l’activation de la protection en temps réel. Pour case activée la status de la protection en temps réel, exécutez la commande suivante :

   mdatp health --field real_time_protection_enabled
   

   Vérifiez que l’entrée real_time_protection_enabled est true. Sinon, exécutez la commande suivante pour l’activer :

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

4. Pour trouver les applications qui déclenchent le plus d’analyses, vous pouvez utiliser les statistiques en temps réel collectées par Defender pour point de terminaison sur macOS. Exécutez la commande suivante pour l’activer :

   mdatp config real-time-protection-statistics --value enabled
   

   Conseil

   Avant de poursuivre la capture des données, assurez-vous que l’utilisation élevée du processeur se produit dans le wdavdaemon_unprivileged en exécutant top ou en ouvrant activity monitor.

5. Pour générer une sortie vers un fichier json, exécutez la commande suivante :

   mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
   

   Remarque

   L’utilisation --output json de (notez le tiret double) garantit que le format de sortie est prêt pour l’analyse. La sortie de cette commande affiche tous les processus et l’activité d’analyse associée.

6. Sur votre système macOS, téléchargez l’exemple d’analyseur high_cpu_parser.py Python à l’aide de la commande :

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
   

   La sortie de cette commande doit ressembler à ce qui suit :

   --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.
   mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
   Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
   Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 1020 [text/plain]
   Saving to: 'high_cpu_parser.py'
   100%[===========================================>] 1,020    --.-K/s   in
   0s
   

7. Tapez les commandes suivantes :

   chmod +x high_cpu_parser.py
   

   cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
   

   La sortie doit être une liste des principaux contributeurs aux problèmes de performances. La première colonne est l’identificateur de processus (PID), la deuxième colonne est le nom du processus et la dernière colonne correspond au nombre de fichiers analysés, triés par impact. Voici un exemple :

   ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
   27432 None 76703
   73467 actool     1249
   73914 xcodebuild 1081
   73873 bash 1050
   27475 None 836
   1    launchd    407
   73468 ibtool     344
   549  telemetryd_v1   325
   4764 None 228
   125  CrashPlanService 164
   

8. Pour améliorer les performances de Defender pour point de terminaison sur macOS, recherchez celui dont le nombre est le plus élevé sous la ligne Nombre total de fichiers analysés , puis ajoutez une exclusion pour celui-ci. Pour plus d’informations, consultez Configurer et valider des exclusions pour Defender pour point de terminaison sur macOS.

   Remarque

   L’application stocke les statistiques en mémoire et effectue uniquement le suivi de l’activité des fichiers depuis son démarrage et l’activation de la protection en temps réel. Les processus qui ont été lancés avant ou pendant les périodes où la protection en temps réel était désactivée ne sont pas pris en compte. En outre, seuls les événements qui ont déclenché des analyses sont comptabilisés.

9. Configurez Microsoft Defender pour point de terminaison sur macOS avec des exclusions pour les processus ou les emplacements de disque qui contribuent aux problèmes de performances et réactivent la protection en temps réel.

   Consultez Configurer et valider des exclusions pour Microsoft Defender pour point de terminaison sur macOS.

Résoudre les problèmes de performances liés à l’analyse du comportement

Consultez le guide sur notre page de support pour la surveillance du comportement.

Résoudre les problèmes de performances à l’aide de Microsoft Defender pour point de terminaison Client Analyzer

L’analyseur client Microsoft Defender pour point de terminaison (MDECA) peut collecter des traces, des journaux et des informations de diagnostic afin de résoudre les problèmes de performances sur les appareils intégrés sur macOS.

Pour exécuter l’analyseur client afin de résoudre les problèmes de performances, consultez Exécuter l’analyseur client sur macOS et Linux.