Wprowadzenie do trybu rozwiązywania problemów w Ochrona punktu końcowego w usłudze Microsoft Defender

Tryb rozwiązywania problemów w Ochrona punktu końcowego w usłudze Microsoft Defender umożliwia administratorom rozwiązywanie problemów z różnymi funkcjami programu antywirusowego Microsoft Defender, nawet jeśli urządzenia są zarządzane przez zasady organizacji. Jeśli na przykład włączono ochronę przed naruszeniami , niektórych ustawień nie można modyfikować ani wyłączać, ale możesz użyć trybu rozwiązywania problemów na urządzeniu, aby tymczasowo edytować te ustawienia.

Tryb rozwiązywania problemów jest domyślnie wyłączony i wymaga włączenia go dla urządzenia (i/lub grupy urządzeń) przez ograniczony czas. Tryb rozwiązywania problemów jest wyłącznie funkcją tylko dla przedsiębiorstw i wymaga dostępu Microsoft Defender portalu.

W tym artykule opisano tryb rozwiązywania problemów dla urządzeń z systemem Windows. Aby uzyskać informacje na temat trybu rozwiązywania problemów na komputerze Mac, zobacz Rozwiązywanie problemów z trybem w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Co należy wiedzieć przed rozpoczęciem?

W trybie rozwiązywania problemów możesz użyć polecenia Set-MPPreference -DisableTamperProtection $true programu PowerShell lub w systemach operacyjnych klienta aplikacji Security Center, aby tymczasowo wyłączyć ochronę przed naruszeniami na urządzeniu i wprowadzić niezbędne zmiany konfiguracji.

Tryb rozwiązywania problemów umożliwia rozwiązywanie problemów lub sprawdzanie zgodności aplikacji z programem antywirusowym Microsoft Defender, na przykład w przypadku wystąpienia wyników fałszywie dodatnich w przypadku bloków aplikacji.

Mając odpowiednie uprawnienia, administratorzy lokalni mogą zmienić konfigurację na poszczególnych urządzeniach, które są zwykle zablokowane przez zasady. Posiadanie urządzenia w trybie rozwiązywania problemów może być przydatne podczas diagnozowania Microsoft Defender scenariuszy dotyczących wydajności i zgodności oprogramowania antywirusowego. Administratorzy lokalni nie mogą wyłączyć programu antywirusowego Microsoft Defender ani odinstalować go. Administratorzy lokalni mogą skonfigurować wszystkie inne ustawienia zabezpieczeń w pakiecie Microsoft Defender Antivirus (na przykład ochrona w chmurze, ochrona przed naruszeniami).

Aby włączyć tryb rozwiązywania problemów, administratorzy muszą mieć uprawnienia "Zarządzanie ustawieniami zabezpieczeń".

Usługa Defender for Endpoint zbiera dzienniki i dane badania w całym procesie rozwiązywania problemów.

• Migawka jest wykonywana MpPreference przed rozpoczęciem trybu rozwiązywania problemów.
• Druga migawka jest wykonywana tuż przed wygaśnięciem trybu rozwiązywania problemów.
• Zbierane są również dzienniki operacyjne z trybu rozwiązywania problemów.
• Dzienniki i migawki są zbierane i są dostępne dla administratora do zbierania przy użyciu funkcji Collect investigation package na stronie urządzenia. Firma Microsoft nie usuwa tych danych z urządzenia, dopóki administrator nie zbierze ich.

Administratorzy mogą również przejrzeć zmiany ustawień, które mają miejsce podczas trybu rozwiązywania problemów w Podgląd zdarzeń na samym urządzeniu.

• Otwórz Podgląd zdarzeń, a następnie rozwiń węzeł Dzienniki> aplikacji i usługMicrosoft>Windows>Defender, a następnie wybierz pozycję Operacje.
• Potencjalne zdarzenia mogą obejmować zdarzenia o identyfikatorach 5000, 5001, 5004, 5007 i innych. Zobacz więcej szczegółów na stronie Przeglądanie dzienników zdarzeń i kodów błędów, aby rozwiązać problemy z programem antywirusowym Microsoft Defender.

Tryb rozwiązywania problemów automatycznie wyłącza się po osiągnięciu czasu wygaśnięcia (trwa 4 godziny). Po wygaśnięciu trybu rozwiązywania problemów wszystkie konfiguracje zarządzane przez zasady ponownie stają się tylko do odczytu i powróć do sposobu skonfigurowania urządzenia przed włączeniem trybu rozwiązywania problemów.

Może upłynąć do 15 minut od momentu wysłania polecenia z Microsoft Defender XDR do momentu, gdy stanie się aktywne na urządzeniu.

Powiadomienia są wysyłane do użytkownika po rozpoczęciu trybu rozwiązywania problemów i zakończeniu trybu rozwiązywania problemów. Zostanie również wysłane ostrzeżenie wskazujące, że tryb rozwiązywania problemów wkrótce się kończy. Początek i koniec trybu rozwiązywania problemów są również identyfikowane w portalu Microsoft Defender na osi czasu urządzenia na stronie urządzenia.

W zaawansowanym wyszukiwaniu można wykonywać zapytania dotyczące wszystkich zdarzeń trybu rozwiązywania problemów.

Wymagania wstępne

• Urządzenia muszą mieć obsługiwany system operacyjny.

  • Windows 10 (wersja 19044.1618 lub nowsza)

  • System Windows 11

  • Windows Server 2019 r. i nowsze

  • Azure Stack HCI OS, wersja 23H2 i nowsze.

    Semestr/Redstone	Wersja systemu operacyjnego	Wydanie
    21H2/SV1	22000.593 lub nowsze	KB5011563: Microsoft Update Catalog
    20H1/20H2/21H1	19042.1620 lub nowsze 19041.1620 lub nowsze 19043.1620 lub nowsze	KB5011543: Microsoft Update Catalog
    Windows Server 2022 r. lub nowszy	20348.617 lub nowsze	KB5011558: Microsoft Update Catalog
    Windows Server 2019 r. (RS5)	17763.2746 lub nowsze	KB5011551: Microsoft Update Catalog

  • Windows Server 2012 R2 i Windows Server 2016 przy użyciu nowoczesnego, ujednoliconego rozwiązania ze wszystkimi następującymi składnikami na bieżąco:

    Składnik	Wersja	Wydanie
    Wersja sense	10.8049.22439.1084 lub nowsze	KB5005292: Microsoft Update Catalog
    Program antywirusowy Microsoft Defender	Platforma: 4.18.2207.7 lub nowsza	KB4052623: Microsoft Update Catalog
    Program antywirusowy Microsoft Defender	Aparat: 1.1.19500.2 lub nowszy	KB2267602: Microsoft Update Catalog

• Usługa Defender for Endpoint musi być zarejestrowana w dzierżawie i aktywna na urządzeniu.

• Urządzenia muszą aktywnie uruchamiać program antywirusowy Microsoft Defender w wersji 4.18.2203 or later.

• W przypadku urządzeń z systemem macOS zobacz Wymagania wstępne dotyczące trybu rozwiązywania problemów na komputerze Mac.

Włącz tryb rozwiązywania problemów

1. Przejdź do portalu Microsoft Defender i zaloguj się.

2. Przejdź do strony urządzenia/strony komputera dla urządzenia, na które chcesz włączyć tryb rozwiązywania problemów. Wybierz pozycję Włącz tryb rozwiązywania problemów. Musisz mieć uprawnienia "Zarządzanie ustawieniami zabezpieczeń w usłudze Security Center" dla Ochrona punktu końcowego w usłudze Microsoft Defender.

   

   Uwaga

   Opcja Włącz tryb rozwiązywania problemów jest dostępna na wszystkich urządzeniach, nawet jeśli urządzenie nie spełnia wymagań wstępnych dotyczących trybu rozwiązywania problemów.

3. Upewnij się, że chcesz włączyć tryb rozwiązywania problemów dla urządzenia.

   

4. Na stronie urządzenia widać, że urządzenie jest teraz w trybie rozwiązywania problemów.

   

Zaawansowane zapytania dotyczące wyszukiwania zagrożeń

Oto kilka wstępnie utworzonych zaawansowanych zapytań dotyczących wyszukiwania zagrożeń, które zapewniają wgląd w zdarzenia rozwiązywania problemów występujące w danym środowisku. Te zapytania umożliwiają również tworzenie reguł wykrywania w celu generowania alertów, gdy urządzenia są w trybie rozwiązywania problemów.

Pobieranie zdarzeń rozwiązywania problemów dla określonego urządzenia

Wyszukaj według deviceId lub deviceName, komentując odpowiednie wiersze.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Urządzenia aktualnie w trybie rozwiązywania problemów

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Liczba wystąpień trybu rozwiązywania problemów według urządzenia

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Łączna liczba

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Artykuły pokrewne

• Tryb rozwiązywania problemów w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
• Analizator wydajności dla programu antywirusowego Microsoft Defender.
• Scenariusze trybu rozwiązywania problemów
• Chroń ustawienia zabezpieczeń z ochroną przed naruszeniami