Modo de resolução de problemas no Microsoft Defender para Endpoint no macOS

Este artigo descreve como ativar o modo de resolução de problemas no Microsoft Defender para Endpoint no macOS para que os administradores possam resolver problemas de várias funcionalidades do Antivírus Microsoft Defender temporariamente, mesmo que as políticas organizacionais giram os dispositivos.

Por exemplo, se a proteção contra adulteração estiver ativada, determinadas definições não podem ser modificadas ou desativadas, mas pode utilizar o modo de resolução de problemas no dispositivo para editar essas definições temporariamente.

O modo de resolução de problemas está desativado por predefinição e requer que o ative para um dispositivo (e/ou grupo de dispositivos) durante um período de tempo limitado. O modo de resolução de problemas é exclusivamente uma funcionalidade apenas para empresas e requer acesso ao portal Microsoft Defender.

O que precisa de saber antes de começar

Durante o modo de resolução de problemas, pode:

• Utilize Microsoft Defender para Endpoint na resolução de problemas funcionais do macOS /compatibilidade de aplicações (falsos positivos).

• Os administradores locais, com as permissões adequadas, podem alterar as seguintes configurações bloqueadas por políticas em pontos finais individuais:

  Definição	Ativar	Desativar/Remover
  Proteção Real-Time/Modo passivo/A Pedido	mdatp config real-time-protection --value enabled	mdatp config real-time-protection --value disabled
  Proteção de Rede	mdatp config network-protection enforcement-level --value block	mdatp config network-protection enforcement-level --value disabled
  realTimeProtectionStatistics	mdatp config real-time-protection-statistics --value enabled	mdatp config real-time-protection-statistics --value disabled
  etiquetas	mdatp edr tag set --name GROUP --value [name]	mdatp edr tag remove --tag-name [name]
  groupIds	mdatp edr group-ids --group-id [group]
  DLP de ponto final	mdatp config data_loss_prevention --value enabled	mdatp config data_loss_prevention --value disabled

Durante o modo de resolução de problemas, não pode:

• Desative a proteção contra adulteração para Microsoft Defender para Endpoint no macOS.
• Desinstale o Microsoft Defender para Endpoint no macOS.

Pré-requisitos

• Versão suportada do macOS para Microsoft Defender para Endpoint.
• Microsoft Defender para Endpoint tem de estar inscrito no inquilino e ativo no dispositivo.
• Permissões para "Gerir definições de segurança no Centro de Segurança" no Microsoft Defender para Endpoint.
• Versão da Atualização da Plataforma: 101.23122.0005 ou mais recente.

Ativar o modo de resolução de problemas no macOS

1. Aceda ao portal Microsoft Defender e inicie sessão.

2. Navegue para a página do dispositivo que pretende ativar o modo de resolução de problemas. Em seguida, selecione as reticências(...) e selecione Ativar modo de resolução de problemas.

   

   Nota

   A opção Ativar o modo de resolução de problemas está disponível em todos os dispositivos, mesmo que o dispositivo não cumpra os pré-requisitos para o modo de resolução de problemas. Para obter mais informações, consulte a secção Problemas com o modo de resolução de problemas mais à frente neste artigo.

3. Leia as informações apresentadas no painel e, quando estiver pronto, selecione Submeter para confirmar que pretende ativar o modo de resolução de problemas para esse dispositivo.

4. Verá Que poderá demorar alguns minutos até que a alteração produza efeito no texto que está a ser apresentado. Durante este período, quando selecionar novamente as reticências, verá que o modo Ativar Resolução de Problemas está pendente .

5. Depois de concluída, a página do dispositivo mostra que o dispositivo está agora no modo de resolução de problemas.

   Se o utilizador final tiver sessão iniciada no dispositivo macOS, verá o seguinte texto:

   O modo de resolução de problemas foi iniciado. Este modo permite-lhe alterar temporariamente as definições geridas pelo administrador. Expira às YEAR-MM-DDTHH:MM:SSZ.

   Selecione OK.

6. Depois de ativada, pode testar as diferentes opções da linha de comandos que são toggláveis no modo de resolução de problemas (Modo TS).

   Por exemplo, quando utiliza mdatp config real-time-protection --value disabled o comando para desativar a proteção em tempo real, ser-lhe-á pedido que introduza a sua palavra-passe. Selecione OK depois de introduzir a sua palavra-passe.

   

   O relatório de saída semelhante à seguinte captura de ecrã será apresentado na execução do estado de funcionamento do mdatp com real_time_protection_enabled como "falso" e tamper_protection como "bloco".

   

Consultas de investigação avançadas para deteção

Existem algumas consultas de investigação avançadas pré-criadas para lhe dar visibilidade sobre os eventos de resolução de problemas que estão a ocorrer no seu ambiente. Pode utilizar estas consultas para criar regras de deteção para gerar alertas quando os dispositivos estão no modo de resolução de problemas.

Obter eventos de resolução de problemas para um dispositivo específico

Pode utilizar a seguinte consulta para procurar ou deviceIddeviceName ao comentar as respetivas linhas.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos atualmente no modo de resolução de problemas

Pode encontrar os dispositivos que estão atualmente no modo de resolução de problemas com a seguinte consulta:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Contagem de instâncias do modo de resolução de problemas por dispositivo

Pode encontrar o número de instâncias do modo de resolução de problemas para um dispositivo com a seguinte consulta:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Contagem total

Pode saber a contagem total de instâncias do modo de resolução de problemas com a seguinte consulta:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Problemas com o modo de resolução de problemas

Se não conseguir ativar o modo de resolução de problemas, execute os seguintes passos de resolução de problemas no Mac de destino:

• Verifique a versão da aplicação ao executar os seguintes comandos:

  mdatp health --field app_version
  
  mdatp health --field edr_client_version
  

  Conforme mencionado anteriormente, precisa da versão da Atualização da Plataforma: 101.23122.0005 ou mais recente.

• Verifique se o dispositivo está inscrito e ativo ao executar os seguintes comandos:

  mdatp health --field edr_machine_id
  
  mdatp connectivity test
  

  Todos os pontos finais devem mostrar [OK].

• Verifique a origem de configuração ao executar o seguinte comando:

  mdatp health --field managed_by
  

  MDE indica Microsoft Defender para Endpoint Anexar e tem prioridade. MEM indica Microsoft Intune ou Apple Jamf.

• Valide os caminhos de perfil necessários:

  • /Library/Preferences/com.microsoft.mdeattach.plist
  • /Library/Managed Preferences/com.microsoft.wdav*.plist

Para elevar o registo e recolher diagnósticos, execute os seguintes comandos e, em seguida, tente ativar novamente o modo de resolução de problemas:

sudo mdatp log level set --level debug

sudo mdatp diagnostic create

sudo mdatp log level set --level info

Conteúdo recomendado

• Microsoft Defender XDR para Endpoint no Mac
• Microsoft Defender XDR para integração de Pontos finais com o Microsoft Defender XDR para Aplicações na Cloud
• Conhecer as funcionalidades inovadoras no Microsoft Edge
• Proteger a sua rede
• Ativar a proteção da rede
• Proteção Web
• Criar indicadores
• Filtragem de conteúdos Web