收集診斷資訊
如果您可以重現問題,請增加記載層次,執行系統一段時間,然後將記載層次還原為預設值。
提高日誌記錄層級:
mdatp log level set --level debugLog level configured successfully重現問題。
執行以
sudo mdatp diagnostic create備份適用於端點的 Microsoft Defender 記錄。 檔案儲存在存檔中.zip。 此命令也會在作業成功之後列印備份的檔案路徑。提示
依預設,診斷日誌會儲存至
/Library/Application Support/Microsoft/Defender/wdavdiag/。 若要變更儲存診斷日誌的目錄,請傳遞--path [directory]至下列命令,並取代[directory]為所需的目錄。sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"還原記錄層級。
mdatp log level set --level infoLog level configured successfully
記錄安裝問題
如果在安裝過程中發生錯誤,安裝程式只會報告一般失敗。 詳細日誌會儲存至 /Library/Logs/Microsoft/mdatp/install.log。 如果您在安裝過程中遇到問題,請在開啟支援案例時將此檔案傳送給我們,以便我們協助診斷原因。
如需進一步疑難排解安裝問題,請參閱疑難排解 macOS 上 適用於端點的 Microsoft Defender 的安裝問題。
從命令列設定
支援的輸出類型
支援表格和 JSON 格式的輸出類型。 對於每個命令,都有預設的輸出行為。 您可以使用下列命令,以偏好的輸出格式修改輸出:
-output json
-output table
可以使用命令列來完成重要工作,例如控制產品設定和觸發隨選掃描:
| Group | 案例 | 命令 |
|---|---|---|
| 組態 | 在被動模式下開啟/關閉防毒軟體 | mdatp config passive-mode --value [enabled/disabled] |
| 組態 | 開啟/關閉即時保護 | mdatp config real-time-protection --value [enabled/disabled] |
| 組態 | 開啟/關閉行為監控 | mdatp config behavior-monitoring --value [enabled/disabled] |
| 組態 | 開啟/關閉雲端保護 | mdatp config cloud --value [enabled/disabled] |
| 組態 | 開啟/關閉產品診斷 | mdatp config cloud-diagnostic --value [enabled/disabled] |
| 組態 | 開啟/關閉自動樣品提交 | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| 組態 | 開啟/稽核/關閉 PUA 保護 | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| 組態 | 新增/移除進程的防毒排除項目 |
mdatp exclusion process [add/remove] --path [path-to-process]或 mdatp exclusion process [add\|remove] --name [process-name] |
| 組態 | 新增/移除檔案的防毒排除項目 | mdatp exclusion file [add/remove] --path [path-to-file] |
| 組態 | 新增/移除目錄的防毒排除項目 | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| 組態 | 新增/移除副檔名的防毒排除項目 | mdatp exclusion extension [add/remove] --name [extension] |
| 組態 | 列出所有防毒排除項目 | mdatp exclusion list |
| 組態 | 設定隨選掃描的平行處理度 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 組態 | 在安全性情報更新後開啟/關閉掃描 | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 組態 | 僅) 開啟/關閉封存掃描 (隨選掃描 | mdatp config scan-archives --value [enabled/disabled] |
| 組態 | 開啟/關閉檔案雜湊計算 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 保護 | 掃描路徑 | mdatp scan custom --path [path] [--ignore-exclusions] |
| 保護 | 進行快速掃描 | mdatp scan quick |
| 保護 | 進行完整掃描 | mdatp scan full |
| 保護 | 取消進行中的隨選掃描 | mdatp scan cancel |
| 保護 | 要求安全性情報更新 | mdatp definitions update |
| 組態 | 將威脅名稱新增至允許清單 | mdatp threat allowed add --name [threat-name] |
| 組態 | 從允許清單中移除威脅名稱 | mdatp threat allowed remove --name [threat-name] |
| 組態 | 列出所有允許的威脅名稱 | mdatp threat allowed list |
| 保護歷史記錄 | 列印完整的保護歷程記錄 | mdatp threat list |
| 保護歷史記錄 | 取得威脅詳細資料 | mdatp threat get --id [threat-id] |
| 檢疫管理 | 列出所有隔離的檔案 | mdatp threat quarantine list |
| 檢疫管理 | 從隔離區移除所有檔案 | mdatp threat quarantine remove-all |
| 檢疫管理 | 將偵測到為威脅的檔案新增至隔離區 | mdatp threat quarantine add --id [threat-id] |
| 檢疫管理 | 從隔離區移除偵測到為威脅的檔案 | mdatp threat quarantine remove --id [threat-id] |
| 檢疫管理 | 從隔離區還原檔案。 適用於端點的 Defender 101.23092.0012 之前版本。 | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 檢疫管理 | 使用威脅 ID 從隔離區還原檔案。 適用於端點的 Defender 版本 101.23092.0012 或更新版本。 | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 檢疫管理 | 使用威脅原始路徑從隔離區還原檔案。 適用於端點的 Defender 版本 101.23092.0012 或更新版本。 | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| 網路保護組態 | 設定網路保護強制執行層級 | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| 網路保護管理 | 檢查網路保護是否已成功啟動 | mdatp health --field network_protection_status |
| 裝置控制管理 | 是否啟用了裝置控制,什麼是預設強制執行? | mdatp device-control policy preferences list |
| 裝置控制管理 | 啟用了哪些裝置控制項原則? | mdatp device-control policy rules list |
| 裝置控制管理 | 啟用哪些裝置控制項原則群組? | mdatp device-control policy groups list |
| 組態 | 開啟/關閉資料外洩防護 | mdatp config data_loss_prevention --value [enabled/disabled] |
| 診斷 | 變更記錄層級 | mdatp log level set --level [error/warning/info/verbose] |
| 診斷 | 產生診斷記錄 | mdatp diagnostic create --path [directory] |
| 健康情況 | 檢查產品的健康狀況 | mdatp health |
| 健康情況 | 檢查特定產品屬性 | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | 根) (EDR 清單排除 | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | 設定/移除標籤,僅支援 GROUP | mdatp edr tag set --name GROUP --value [name] |
| EDR | 從裝置移除群組標籤 | mdatp edr tag remove --tag-name [name] |
| EDR | 新增群組ID | mdatp edr group-ids --group-id [group] |
如何啟用自動完成功能
若要在 bash 中啟用自動完成功能,請執行下列命令,然後重新啟動終端機工作階段:
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
若要在 zsh 中啟用自動完成功能:
檢查您的裝置上是否啟用了自動完成功能:
cat ~/.zshrc | grep autoload如果上述命令不產生任何輸出,您可以使用下列命令啟用自動完成:
echo "autoload -Uz compinit && compinit" >> ~/.zshrc執行下列命令,以在 macOS 上啟用適用於端點的 適用於端點的 Microsoft Defender 的自動完成,並重新啟動終端機會話:
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
用戶端適用於端點的 Microsoft Defender 隔離目錄
/Library/Application Support/Microsoft/Defender/quarantine/ 包含由 隔離的 mdatp檔案。 這些檔案以威脅 trackingId 命名。 目前的 trackingId 會以 顯示。mdatp threat list
解除安裝
有數種方法可以在 macOS 上卸載適用於端點的 Microsoft Defender。 雖然 JAMF 上提供集中管理卸載功能,但尚不適用於 Microsoft Intune。
在 macOS 上卸載適用於端點的 Microsoft Defender 的所有卸載都需要下列專案:
建立裝置標籤,並將標籤命名為已解除委任,並將它指派給要卸載適用於 macOS 的 Microsoft Defender 的 macOS。
建立 裝置群組 並將其命名為 (例如「 已停用的 macOS) 」,並指派一個應該能夠看到它們的使用者 群組 。
注意:如果您不想在「裝置清單」中看到這些已淘汰 180 天的裝置,步驟 1 和 2 是選用的。
刪除包含 篡改保護 或通過手動配置的“設置首選項”策略。
在 Microsoft Defender 入口網站的導覽窗格中,選取 [設定>] [離線],然後選取作業系統以啟動程式。
解除安裝適用於端點的 Microsoft Defender 應用程式。
如果使用 MDM 來設定系統延伸模組原則,請從群組中移除裝置。
互動式解除安裝
- 打開 Finder>應用程序。 以滑鼠右鍵選取適用於端點的 Microsoft Defender,然後選取 [移至垃圾桶]。
從命令列
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
使用 JAMF Pro
若要使用 JAMF Pro 在 macOS 上卸載適用於端點的 Microsoft Defender,請上傳離線配置檔。
應上傳離職設定檔,而不進行任何修改,並將 [偏好設定網域名稱] 設定為 com.microsoft.wdav.atp.offboarding,如下圖所示:
注意事項
如果您在 Mac 上卸載適用於端點的 Defender 時遇到問題,而且您在報表中看到 Microsoft Defender 端點安全性延伸模組的專案,請遵循下列步驟:
- 重新安裝 Microsoft Defender 應用程式。
- 將Microsoft Defender.app 拖到垃圾桶。
- 執行此命令:
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook。 - 重新開機裝置。
Microsoft Defender 入口網站
偵測到威脅時,您的安全小組可以檢視偵測,並視需要在Microsoft Defender入口網站 (https://security.microsoft.com) 中的裝置上採取回應動作。 Microsoft Defender 將保護、偵測、調查和回應威脅結合在一個集中位置。 如需詳細資訊,請參閱下列資源:
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。