Aan de slag met de probleemoplossingsmodus in Microsoft Defender voor Eindpunt

De probleemoplossingsmodus in Microsoft Defender voor Eindpunt stelt beheerders in staat om verschillende Microsoft Defender Antivirus-functies op te lossen, zelfs als apparaten worden beheerd door organisatiebeleid. Als manipulatiebeveiliging bijvoorbeeld is ingeschakeld, kunnen bepaalde instellingen niet worden gewijzigd of uitgeschakeld, maar kunt u de probleemoplossingsmodus op een apparaat gebruiken om deze instellingen tijdelijk te bewerken.

De probleemoplossingsmodus is standaard uitgeschakeld en vereist dat u deze gedurende een beperkte tijd inschakelt voor een apparaat (en/of groep apparaten). De probleemoplossingsmodus is uitsluitend een functie voor ondernemingen en vereist Microsoft Defender portaltoegang.

In dit artikel wordt de probleemoplossingsmodus voor Windows-apparaten beschreven. Zie Probleemoplossingsmodus in Microsoft Defender voor Eindpunt op macOS voor meer informatie over de probleemoplossingsmodus op mac.

Wat moet u weten voordat u begint?

Tijdens de probleemoplossingsmodus kunt u de PowerShell-opdracht Set-MPPreference -DisableTamperProtection $true of, op clientbesturingssystemen, de Security Center-app gebruiken om manipulatiebeveiliging tijdelijk uit te schakelen op uw apparaat en de benodigde configuratiewijzigingen aan te brengen.

U kunt de probleemoplossingsmodus gebruiken om problemen met toepassingscompatibiliteit met Microsoft Defender Antivirus op te lossen, bijvoorbeeld wanneer er fout-positieven optreden met toepassingsblokken.

Met de juiste machtigingen kunnen lokale beheerders de configuratie wijzigen op afzonderlijke apparaten die meestal zijn vergrendeld door beleid. Een apparaat in de probleemoplossingsmodus kan handig zijn bij het diagnosticeren van Microsoft Defender scenario's voor antivirusprestaties en -compatibiliteit. Lokale beheerders kunnen Microsoft Defender Antivirus niet uitschakelen of verwijderen. Lokale beheerders kunnen alle andere beveiligingsinstellingen configureren in de Microsoft Defender Antivirus-suite (bijvoorbeeld cloudbeveiliging, manipulatiebeveiliging).

Beheerders moeten de machtigingen 'Beveiligingsinstellingen beheren' hebben om de probleemoplossingsmodus in te schakelen.

Defender voor Eindpunt verzamelt logboeken en onderzoeksgegevens tijdens het probleemoplossingsproces.

• Er wordt een momentopname van MpPreference gemaakt voordat de probleemoplossingsmodus wordt gestart.
• Er wordt een tweede momentopname gemaakt net voordat de probleemoplossingsmodus verloopt.
• Operationele logboeken van tijdens de probleemoplossingsmodus worden ook verzameld.
• Logboeken en momentopnamen worden verzameld en kunnen door een beheerder worden verzameld met behulp van de functie Onderzoekspakket verzamelen op de apparaatpagina. Microsoft verwijdert deze gegevens pas van het apparaat als een beheerder deze heeft verzameld.

Beheerders kunnen ook de wijzigingen in instellingen bekijken die plaatsvinden tijdens de probleemoplossingsmodus in Logboeken op het apparaat zelf.

• Open Logboeken, vouw vervolgens Toepassingen en services-logboeken>Microsoft>Windows>Windows Defender uit en selecteer vervolgens Operationeel.
• Mogelijke gebeurtenissen kunnen gebeurtenissen zijn met id's 5000, 5001, 5004, 5007 en andere. Zie Gebeurtenislogboeken en foutcodes controleren om problemen met Microsoft Defender Antivirus op te lossen voor meer informatie.

De probleemoplossingsmodus wordt automatisch uitgeschakeld nadat de verlooptijd is bereikt (deze duurt 4 uur). Wanneer de probleemoplossingsmodus is verlopen, worden alle door beleid beheerde configuraties weer alleen-lezen en wordt teruggezet naar de manier waarop het apparaat was geconfigureerd voordat de probleemoplossingsmodus werd ingeschakeld.

Het kan tot 15 minuten duren voordat de opdracht wordt verzonden vanaf Microsoft Defender XDR tot het moment dat de opdracht actief wordt op het apparaat.

Er worden meldingen naar de gebruiker verzonden wanneer de probleemoplossingsmodus wordt gestart en wanneer de probleemoplossingsmodus wordt beëindigd. Er wordt ook een waarschuwing verzonden om aan te geven dat de probleemoplossingsmodus binnenkort wordt beëindigd. Het begin en einde van de probleemoplossingsmodus worden ook aangegeven in de Microsoft Defender portal, in de apparaattijdlijn op de apparaatpagina.

U kunt een query uitvoeren op alle gebeurtenissen in de probleemoplossingsmodus in geavanceerde opsporing.

Vereisten

• Op apparaten moet een ondersteund besturingssysteem worden uitgevoerd.

  • Windows 10 (versie 19044.1618 of hoger)

  • Windows 11

  • Windows Server 2019 en hoger

  • Azure Stack HCI OS, versie 23H2 en hoger.

    Semester/Redstone	Versie van besturingssysteem	Release
    21H2/SV1	22000.593 of hoger	KB5011563: Microsoft Update-catalogus
    20H1/20H2/21H1	19042.1620 of hoger 19041.1620 of hoger 19043.1620 of hoger	KB5011543: Microsoft Update-catalogus
    Windows Server 2022 of hoger	20348.617 of hoger	KB5011558: Microsoft Update-catalogus
    Windows Server 2019 (RS5)	17763.2746 of hoger	KB5011551: Microsoft Update-catalogus

  • Windows Server 2012 R2 en Windows Server 2016 met behulp van de moderne geïntegreerde oplossing, waarbij alle volgende onderdelen up-to-date zijn:

    Component	Versie	Release
    Sense-versie	10.8049.22439.1084 of hoger	KB5005292: Microsoft Update-catalogus
    Microsoft Defender Antivirus	Platform: 4.18.2207.7 of hoger	KB4052623: Microsoft Update-catalogus
    Microsoft Defender Antivirus	Engine: 1.1.19500.2 of hoger	KB2267602: Microsoft Update-catalogus

• Defender voor Eindpunt moet in de tenant zijn ingeschreven en actief zijn op het apparaat.

• Op apparaten moet actief worden uitgevoerd Microsoft Defender Antivirus, versie 4.18.2203 or later.

• Zie Vereisten voor de probleemoplossingsmodus op Mac voor macOS-apparaten.

Probleemoplossingsmodus inschakelen

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Navigeer naar de apparaatpagina/computerpagina voor het apparaat dat u de probleemoplossingsmodus wilt inschakelen. Selecteer Probleemoplossingsmodus inschakelen. U moet de machtigingen 'Beveiligingsinstellingen beheren in Security Center' hebben voor Microsoft Defender voor Eindpunt.

   

   Opmerking

   De optie Probleemoplossingsmodus inschakelen is beschikbaar op alle apparaten, zelfs als het apparaat niet voldoet aan de vereisten voor de probleemoplossingsmodus.

3. Bevestig dat u de probleemoplossingsmodus voor het apparaat wilt inschakelen.

   

4. Op de apparaatpagina ziet u dat het apparaat zich nu in de probleemoplossingsmodus bevindt.

   

Geavanceerde opsporingsquery's

Hier volgen enkele vooraf gemaakte geavanceerde opsporingsquery's om u inzicht te geven in de probleemoplossingsgebeurtenissen die zich in uw omgeving voordoen. U kunt deze query's ook gebruiken om detectieregels te maken om waarschuwingen te genereren wanneer apparaten zich in de probleemoplossingsmodus bevinden.

Probleemoplossingsgebeurtenissen voor een bepaald apparaat ophalen

Zoek op deviceId of deviceName door de respectieve regels uit te voegen.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Apparaten die zich momenteel in de probleemoplossingsmodus bevinden

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Aantal exemplaren van de probleemoplossingsmodus per apparaat

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Totaal aantal

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Verwante artikelen

• Probleemoplossingsmodus in Microsoft Defender voor Eindpunt in macOS
• Performance Analyzer voor Microsoft Defender Antivirus.
• Scenario's voor probleemoplossingsmodus
• Beveiligingsinstellingen beveiligen tegen onrechtmatig wijzigen