Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera zasoby umożliwiające rozwiązywanie problemów lub konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. W tym artykule opisano sposób zbierania informacji diagnostycznych, problemów z instalacją dziennika i konfigurowania usługi Defender for Endpoint w systemie Linux przy użyciu wiersza polecenia. W tym artykule opisano również sposób odinstalowywania usługi Defender dla punktu końcowego w systemie Linux.
Zbieranie informacji diagnostycznych
Porada
Uruchom analizator klienta usługi Defender for Endpoint z odpowiedzią na żywo lub lokalnie na urządzeniu, aby zebrać informacje diagnostyczne z usługi Defender for Endpoint w systemie Linux.
Jeśli możesz odtworzyć problem, najpierw zwiększ poziom rejestrowania, uruchom system przez jakiś czas, a następnie przywróć domyślny poziom rejestrowania.
Zwiększ poziom rejestrowania:
mdatp log level set --level debugLog level configured successfullyOdtwórz problem.
Uruchom następujące polecenie, aby utworzyć kopię zapasową usługi Defender dla dzienników punktu końcowego. Pliki będą przechowywane w archiwum .zip.
sudo mdatp diagnostic createTo polecenie spowoduje również wyświetlenie ścieżki pliku do kopii zapasowej po pomyślnym wykonaniu operacji:
Diagnostic file created: <path to file>Poziom rejestrowania przywracania:
mdatp log level set --level infoLog level configured successfully
Problemy z instalacją dziennika
Jeśli podczas instalacji wystąpi błąd, instalator zgłosi tylko ogólny błąd.
Szczegółowy dziennik zostanie zapisany w /var/log/microsoft/mdatp/install.logpliku .
Jeśli podczas instalacji wystąpią problemy, wyślij do nas ten plik, abyśmy mogli pomóc w zdiagnozowaniu przyczyny.
Konfigurowanie z poziomu wiersza polecenia
Ważne zadania, takie jak kontrolowanie ustawień produktu i wyzwalanie skanowania na żądanie, można wykonać z poziomu wiersza polecenia.
Opcje globalne
Domyślnie narzędzie wiersza polecenia generuje wynik w formacie czytelnym dla człowieka. Ponadto narzędzie obsługuje również wyprowadzanie wyniku w formacie JSON, co jest przydatne w scenariuszach automatyzacji. Aby zmienić dane wyjściowe na JSON, przekaż --output json dowolne z poniższych poleceń.
Obsługiwane polecenia
W poniższej tabeli wymieniono polecenia dla niektórych typowych scenariuszy. Uruchom mdatp help polecenie z poziomu terminalu, aby wyświetlić pełną listę obsługiwanych poleceń.
| Grupa | Scenariusz | Polecenia |
|---|---|---|
| Konfiguracja | Włączanie/wyłączanie ochrony w czasie rzeczywistym | mdatp config real-time-protection --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie monitorowania zachowania | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie ochrony w chmurze | mdatp config cloud --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie diagnostyki produktu | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie automatycznego przesyłania przykładów | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Konfiguracja | Włączanie/wyłączanie trybu pasywnego oprogramowania antywirusowego | mdatp config passive-mode --value [enabled\|disabled] |
| Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla rozszerzenia pliku | mdatp exclusion extension [add\|remove] --name [extension] |
| Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla pliku | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla katalogu | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Konfiguracja | Dodawanie/usuwanie wykluczenia programu antywirusowego dla procesu | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Konfiguracja | Dodawanie/usuwanie globalnego wykluczenia dla pliku | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Konfiguracja | Dodawanie/usuwanie globalnego wykluczenia dla katalogu | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Konfiguracja | Dodawanie/usuwanie globalnego wykluczenia dla procesu | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Konfiguracja | Wyświetl listę wszystkich wykluczeń programu antywirusowego | mdatp exclusion list |
| Konfiguracja | Dodawanie nazwy zagrożenia do listy dozwolonych | mdatp threat allowed add --name [threat-name] |
| Konfiguracja | Usuwanie nazwy zagrożenia z listy dozwolonych | mdatp threat allowed remove --name [threat-name] |
| Konfiguracja | Wyświetl listę wszystkich dozwolonych nazw zagrożeń | mdatp threat allowed list |
| Konfiguracja | Włączanie ochrony pua | mdatp threat policy set --type potentially_unwanted_application --action block |
| Konfiguracja | Wyłączanie ochrony pua | mdatp threat policy set --type potentially_unwanted_application --action off |
| Konfiguracja | Włączanie trybu inspekcji w celu ochrony pua | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Konfiguracja | Konfigurowanie stopnia równoległości na potrzeby skanowania na żądanie | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfiguracja | Włączanie/wyłączanie skanowania po aktualizacjach analizy zabezpieczeń | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfiguracja | Włączanie/wyłączanie skanowania archiwum (tylko skanowanie na żądanie) | mdatp config scan-archives --value [enabled/disabled] |
| Konfiguracja | Włączanie/wyłączanie obliczeń skrótów plików | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Diagnostyka | Zmienianie poziomu dziennika | mdatp log level set --level verbose [error|warning|info|verbose] |
| Diagnostyka | Generowanie dzienników diagnostycznych | mdatp diagnostic create --path [directory] |
| Diagnostyka | Limity rozmiarów dla zachowanych dzienników produktów | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Kondycja | Sprawdzanie kondycji produktu | mdatp health |
| Ochrony | Skanowanie ścieżki | mdatp scan custom --path [path] [--ignore-exclusions] |
| Ochrony | Wykonaj szybkie skanowanie | mdatp scan quick |
| Ochrony | Wykonaj pełne skanowanie | mdatp scan full |
| Ochrony | Anulowanie trwającego skanowania na żądanie | mdatp scan cancel |
| Ochrony | Żądanie aktualizacji analizy zabezpieczeń | mdatp definitions update |
| Ochrony | Wycofywanie analizy zabezpieczeń do oryginalnego zestawu domyślnego | mdatp definitions restore |
| Historia ochrony | Drukowanie pełnej historii ochrony | mdatp threat list |
| Historia ochrony | Uzyskiwanie szczegółów zagrożeń | mdatp threat get --id [threat-id] |
| Zarządzanie kwarantanną | Wyświetl listę wszystkich plików poddanych kwarantannie | mdatp threat quarantine list |
| Zarządzanie kwarantanną | Usuwanie wszystkich plików z kwarantanny | mdatp threat quarantine remove-all |
| Zarządzanie kwarantanną | Dodawanie pliku wykrytego jako zagrożenie do kwarantanny | mdatp threat quarantine add --id [threat-id] |
| Zarządzanie kwarantanną | Usuwanie pliku wykrytego jako zagrożenie z kwarantanny | mdatp threat quarantine remove --id [threat-id] |
| Zarządzanie kwarantanną | Przywróć plik z kwarantanny. Dostępne w usłudze Defender for Endpoint w wersji wcześniejszej niż 101.23092.0012. |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Zarządzanie kwarantanną | Przywróć plik z kwarantanny przy użyciu identyfikatora zagrożenia. Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23092.0012 . |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Zarządzanie kwarantanną | Przywróć plik z kwarantanny przy użyciu oryginalnej ścieżki zagrożenia. Dostępne w usłudze Defender dla wersji punktu końcowego lub nowszej 101.23092.0012 . |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Wykrywanie i reagowanie na punkty końcowe | Ustawianie wczesnej wersji zapoznawczej | mdatp edr early-preview [enabled\|disabled] |
| Wykrywanie i reagowanie na punkty końcowe | Ustawianie identyfikatora grupy | mdatp edr group-ids --group-id [group-id] |
| Wykrywanie i reagowanie na punkty końcowe | Ustawianie/usuwanie tagu, obsługiwane tylko GROUP |
mdatp edr tag set --name GROUP --value [tag] |
| Wykrywanie i reagowanie na punkty końcowe | Wykluczenia listy (główny) | mdatp edr exclusion list [processes|paths|extensions|all] |
Katalog kwarantanny dla usługi Defender dla punktu końcowego Linux
Domyślnym katalogiem plików poddanych kwarantannie przez protokół MDATP jest /var/opt/microsoft/mdatp/quarantine. Aby uzyskać najlepsze wyniki, użyj polecenia MDATP threat quarantine , aby zarządzać plikami poddanymi kwarantannie, zamiast przenosić lub modyfikować pliki bezpośrednio w katalogu kwarantanny. Bezpośrednie operacje na plikach nie są zalecane — zawsze używaj interfejsu wiersza polecenia do bezpiecznego i obsługiwanego zarządzania kwarantanną.
Odinstalowywanie usługi Defender dla punktu końcowego w systemie Linux
Istnieje kilka sposobów odinstalowania usługi Defender for Endpoint w systemie Linux. Jeśli używasz narzędzia konfiguracji, takiego jak Puppet, postępuj zgodnie z instrukcjami dezinstalacji pakietu dla narzędzia konfiguracji.
Odłączanie urządzeń z systemem Linux
Aby zapobiec wyświetlaniu zlikwidowanych urządzeń w spisie urządzeń i zapewnić dokładniejszą ocenę wskaźnika bezpieczeństwa, dodaj tagi urządzeń do urządzeń, które mają zostać odłączone od usługi Defender for Endpoint. W przeciwnym razie te urządzenia będą widoczne w spisie urządzeń przez 180 dni.
Utwórz tag urządzenia i nadaj mu
decommissionednazwę . Przypisz tag do urządzeń z systemem Linux, które mają zostać odłączone od usługi Defender for Endpoint.Utwórz grupę Urządzenia i nadaj jej nazwę w następujący sposób:
Decommissioned Linux. Przypisz ten tag do odpowiedniej grupy użytkowników.W portalu Microsoft Defender w okienku nawigacji wybierz pozycję Ustawienia>— odłączanie. W procesie wybierania systemu operacyjnego do rozpoczęcia odłączania wybierz pozycję Linux Server, a następnie wybierz metodę wdrażania.
Jeśli używasz rozwiązania do zarządzania urządzeniami innych niż Microsoft, wyłącz integrację z usługą Defender for Endpoint.
Odinstaluj usługę Defender dla punktu końcowego na urządzeniach.
Ręczne odinstalowywanie
-
sudo yum remove mdatpdla RHEL i wariantów (CentOS i Oracle Linux). -
sudo zypper remove mdatpdla SLES i wariantów. -
sudo apt-get purge mdatpsystemów Ubuntu i Debian. -
sudo dnf remove mdatpdla Marynarza.
Zawartość pokrewna
- Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
- Wymagania wstępne dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
- Konfigurowanie ustawień zabezpieczeń w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
- Uruchamianie analizatora klienta w systemie Linux
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Ochrona punktu końcowego w usłudze Microsoft Defender.