Ресурсы для Microsoft Defender для конечной точки на macOS

Область применения:

Сбор диагностических сведений

Если вы можете воспроизвести проблему, увеличите уровень ведения журнала, запустите систему в течение некоторого времени и восстановите уровень ведения журнала по умолчанию.

Повышение уровня ведения журнала:

Запустите sudo mdatp diagnostic create для поддержки журналов Microsoft Defender для конечных точек. Файлы будут храниться в .zip архиве. Эта команда также распечатает путь файла к резервному копированию после успешной операции.

По умолчанию журналы диагностики сохраняются до /Library/Application Support/Microsoft/Defender/wdavdiag/ . Чтобы изменить каталог, в котором сохраняются диагностические журналы, перейдите в приведенную ниже команду, заменив —path [directory] [directory] нужный каталог.

Восстановление уровня ведения журнала:

Проблемы с установкой журнала

Если ошибка возникает во время установки, установщик будет сообщать только об общем сбое.

Подробный журнал будет сохранен до /Library/Logs/Microsoft/mdatp/install.log . Если во время установки вы испытываете проблемы, отправьте нам этот файл, чтобы мы могли помочь диагностировать причину.

Uninstalling

Существует несколько способов удалить Microsoft Defender для конечной точки на macOS. Обратите внимание, что, хотя централизованная управляемая удалить доступна на JAMF, она еще недоступна для Microsoft Intune.

Интерактивная деинсталлация

• Open Finder > приложения. Правой кнопкой мыши на кнопку Microsoft Defender для конечной точки > Переместить в корзину.

Из командной строки

• sudo ‘/Library/Application Support/Microsoft/Defender/uninstall/uninstall’

Настройка из командной строки

Из командной строки можно выполнять важные задачи, такие как управление настройками продуктов и сканы по запросу.

Group	Сценарий	Команда
Конфигурация	Включите/отключите защиту в режиме реального времени	mdatp config real-time-protection —value [enabled/disabled]
Конфигурация	Включите/отключите облачную защиту	mdatp config cloud —value [enabled/disabled]
Конфигурация	Включите/отключите диагностику продукта	mdatp config cloud-diagnostic —value [enabled/disabled]
Конфигурация	Включите/отключите автоматическую отправку образца	mdatp config cloud-automatic-sample-submission —value [enabled/disabled]
Конфигурация	Добавление имени угрозы в разрешенный список	mdatp threat allowed add —name [threat-name]
Конфигурация	Удаление имени угрозы из разрешенного списка	mdatp threat allowed remove —name [threat-name]
Конфигурация	Список всех разрешенных имен угроз	mdatp threat allowed list
Конфигурация	Включив защиту PUA	mdatp threat policy set —type potentially_unwanted_application — action block
Конфигурация	Отключение защиты PUA	mdatp threat policy set —type potentially_unwanted_application — action off
Конфигурация	Включим режим аудита для защиты PUA	mdatp threat policy set —type potentially_unwanted_application — action audit
Конфигурация	Включите и отключите пассивный режим антивирусной программы	mdatp config passive-mode —value [enabled/disabled]
Конфигурация	Настройка степени параллелизма для проверки по запросу	mdatp config maximum-on-demand-scan-threads —value [numerical-value-between-1-and-64]
Конфигурация	Включите/отключите сканирование после обновления сведений о безопасности	mdatp config scan-after-definition-update —value [enabled/disabled]
Конфигурация	Включите/отключите сканирование архива (только по запросу)	mdatp config scan-archives —value [enabled/disabled]
Diagnostics	Изменение уровня журнала	mdatp log level set —level [error/warning/info/verbose]
Diagnostics	Создание журналов диагностики	mdatp diagnostic create —path [directory]
Работоспособность	Проверка состояния продукта	mdatp health
Работоспособность	Проверка атрибута spefic product	mdatp health —field [attribute: healthy/licensed/engine_version. ]
Защита	Сканирование пути	mdatp scan custom —path [path] [—ignore-exclusions]
Защита	Быстрое сканирование	mdatp scan quick
Защита	Полное сканирование	mdatp scan full
Защита	Отмена текущего сканирования по запросу	mdatp scan cancel
Защита	Запрос обновления сведений о безопасности	mdatp definitions update
EDR	Добавление тега группы на устройство. EDR теги используются для управления группами устройств. Дополнительные сведения можно получить на сайте /microsoft-365/security/defender-endpoint/machine-groups	mdatp edr tag set —name GROUP —value [name]
EDR	Удаление тега группы с устройства	mdatp edr tag remove —tag-name [name]
EDR	Добавление группового ID	mdatp edr group-ids —group-id [group]

Как включить автозаполнение

Чтобы включить автозаполнение в bash, запустите следующую команду и перезапустите сеанс Терминала:

Чтобы включить автозаполнение в zsh:

Проверьте, включена ли автокомплектация на устройстве:

Если в предыдущей команде не производится какой-либо выход, можно включить автозаполнение с помощью следующей команды:

Запустите следующие команды, чтобы включить автозаполнение для Microsoft Defender для конечной точки на macOS и перезапустить сеанс Терминала:

Клиент Microsoft Defender для каталога карантина конечных точек

/Library/Application Support/Microsoft/Defender/quarantine/ содержит файлы, которые находятся на mdatp карантине. Файлы названы в честь отслеживания угроз. Текущий trackingIds показан с mdatp threat list .

Сведения портала Microsoft Defender для конечных точек

EDR возможности macOSуже прибыли в блоге Microsoft Defender for Endpoint, где подробно описано, чего ожидать в Центре безопасности конечных точек Microsoft Defender.

Источник

Microsoft Defender для конечной точки на Mac

Область применения:

В этом разделе описывается установка, настройка, обновление и использование Defender для конечной точки на Mac.

Запуск других сторонних продуктов защиты конечной точки наряду с Microsoft Defender для конечной точки на Mac может привести к проблемам с производительностью и непредсказуемым побочным эффектам. Если защита конечной точки от Microsoft является абсолютным требованием в вашей среде, вы можете безопасно использовать функции Defender для конечной точки на Mac EDR после настройки функции антивируса для запуска в пассивном режиме.

Новые возможности последнего выпуска

Если у вас есть какие-либо отзывы, которые вы хотели бы поделиться, отправьте его, открыв Microsoft Defender для конечной точки на Mac на устройстве и навигации, чтобы помочь > отправить обратную связь.

Чтобы получить последние функции, в том числе возможности предварительного просмотра (например, обнаружение и нейтрализация атак на конечные точки для устройств Mac), настройте устройство macOS под управлением Microsoft Defender для Конечной точки как устройство «Insider».

Установка Microsoft Defender для конечной точки на Mac

Требования

• Подписка на конечную точку Defender и доступ к Microsoft 365 Defender порталу
• Опыт начального уровня в скриптах macOS и BASH
• Административные привилегии на устройстве (в случае ручного развертывания)

Инструкции по установке

Существует несколько методов и средств развертывания, которые можно использовать для установки и настройки Defender для конечной точки на Mac.

Средства управления сторонними средствами управления:

Средство командной строки:

Требования к системе

Поддерживаются три последних основных выпуска macOS.

В macOS 11 (Big Sur) Microsoft Defender для конечной точки требует дополнительных профилей конфигурации. Если вы существующий клиент, обновляющийся из более ранних версий macOS, не забудьте развернуть дополнительные профили конфигурации, перечисленные в новых профилях конфигурации для macOS Catalinaи более новых версиях macOS.

Поддержка macOS 10.13 (High Sierra) прекращена с 15 февраля 2021 г.

• 11 (Big Sur), 10.15 (Каталина), 10.14 (Mojave)
• Пространство диска: 1 ГБ

Бета-версии macOS не поддерживаются.

Поддержка устройств macOS с чипами M1 официально поддерживается с версии 101.40.84 агента.

После включения службы может потребоваться настроить сеть или брандмауэр, чтобы разрешить исходящие подключения между ней и конечными точками.

Требования к лицензированию

Microsoft Defender для конечной точки на Mac требует одно из следующих предложений по лицензированию объемов Microsoft:

• Microsoft 365 E5 (M365 E5)
• Безопасность Microsoft 365 E5
• Microsoft 365 A5 (M365 A5)
• Windows 10 Корпоративная E5
• Windows 11
• Microsoft Defender для конечной точки

Лицензированные пользователи могут использовать Microsoft Defender для конечной точки на пяти одновременном устройстве. Microsoft Defender для конечной точки также доступен для покупки в поставщик облачных решений (CSP). При покупке через CSP не требуется перечисление предложений microsoft Volume Licensing.

Настройка исключений

При добавлении исключений в Microsoft Defender следует помнить о распространенных ошибках исключения для антивирусная программа в Microsoft Defender

Сетевые подключения

В следующей загружаемой таблице перечислены службы и связанные с ними URL-адреса, к которые должна подключаться ваша сеть. Необходимо убедиться, что нет правил фильтрации брандмауэра или сети, которые бы отказывали в доступе к этим URL-адресам, или вам может потребоваться создать правило разрешить специально для них.

Таблица списка доменов	Описание
	Таблица определенных DNS-записей для расположения служб, географических местоположений и ОС. Скачайте таблицу здесь: mdatp-urls.xlsx.

Microsoft Defender для конечной точки может открыть прокси-сервер с помощью следующих методов обнаружения:

• Прокси-автоконфиг (PAC)
• Протокол автоматического обнаружения веб-прокси (WPAD)
• Ручная статическая конфигурация прокси

Если прокси-сервер или брандмауэр блокирует анонимный трафик, убедитесь, что анонимный трафик разрешен в указанных ранее URL-адресах.

Прокси-прокси с проверкой подлинности не поддерживаются. Убедитесь, что используется только PAC, WPAD или статический прокси.

Проверка SSL и перехват прокси также не поддерживаются по соображениям безопасности. Настройте исключение для проверки SSL и прокси-сервера, чтобы напрямую передавать данные из Microsoft Defender для конечной точки на macOS в соответствующие URL-адреса без перехвата. Добавление сертификата перехвата в глобальный магазин не позволяет перехватывать.

Если вы предпочитаете командную строку, вы также можете проверить подключение, задав следующую команду в терминале:

Выход из этой команды должен быть похож на следующие:

Рекомендуется поддерживать включенную защиту целостности системы (SIP) на клиентских устройствах. SIP — это встроенная функция безопасности macOS, которая предотвращает низкоуровневые взломы ОС и включена по умолчанию.

После установки Microsoft Defender для конечной точки подключение можно проверить, заверив следующую команду в терминале:

Обновление Microsoft Defender для конечной точки на Mac

Корпорация Майкрософт регулярно публикует обновления программного обеспечения для повышения производительности, безопасности и предоставления новых функций. Для обновления Microsoft Defender для конечной точки на Mac используется программа с именем Microsoft AutoUpdate (MAU). Дополнительные новости см. в дополнительных подробной информации о развертывании обновлений для Microsoft Defender для конечной точки на Mac.

Настройка Microsoft Defender для конечной точки на Mac

Инструкции по настройке продукта в корпоративных средах доступны в наборе предпочтений Для Microsoft Defender для конечнойточки на Mac .

ядра macOS и расширения системы

В соответствии с эволюцией macOS мы готовим обновление Microsoft Defender для конечной точки на Mac, которое использует расширения системы вместо расширений ядра. Соответствующие сведения см. в материале «Что нового в Microsoft Defender для конечной точки на Mac».

Источник

What’s new in Microsoft Defender for Endpoint on Mac

Applies to:

Want to experience Microsoft Defender for Endpoint? Sign up for a free trial.

On macOS 11 (Big Sur), Microsoft Defender for Endpoint requires additional configuration profiles. If you are an existing customer upgrading from earlier versions of macOS, make sure to deploy the additional configuration profiles listed on this page.

101.41.10 (20.121072.14110.0)

• Added new switches to the command-line tool:
  • Control degree of parallelism for on-demand scans. This can be configured through mdatp config maximum-on-demand-scan-threads —value [number-between-1-and-64] . By default, a degree of parallelism of 2 is used.
  • Control whether scans after security intelligence updates are enabled or disabled. This can be configured through mdatp config scan-after-definition-update —value [enabled/disabled] . By default, this is set to enabled .
  • Control whether archives are scanned during on-demand scans. This can be configured through mdatp config scan-archives —value [enabled/disabled] . By default, this is set to enabled .
• Changing the product log level now requires elevation
• Performance improvements & bug fixes

101.40.84 (20.121071.14084.0)

• M1 chip native support
• Performance improvements & bug fixes

101.37.97 (20.121062.13797.0)

• Performance improvements & bug fixes

101.34.28 (20.121061.13428.0)

101.34.27 (20.121052.13427.0)

101.34.20 (20.121051.13420.0)

• Device control for macOS is now in general availability
• Addressed an issue where a quick scan could not be started from the status menu on macOS 11 (Big Sur)
• Other bug fixes

101.32.69 (20.121042.13269.0)

• Addressed an issue where concurrent access to the keychain from Microsoft Defender for Endpoint and other applications can lead to keychain corruption.

101.29.64 (20.121042.12964.0)

• Starting with this version, threats detected during on-demand antivirus scans triggered through the command-line client are automatically remediated. Threats detected during scans triggered through the user interface still require manual action.
• mdatp diagnostic real-time-protection-statistics now supports two additional switches:
  • —sort : sorts the output descending by total number of files scanned
  • —top N : displays the top N results (only works if —sort is also specified)
• Performance improvements (specifically for when YARN is used) & bug fixes

101.27.50 (20.121022.12750.0)

• Fix to accommodate for Apple certificate expiration for macOS Catalina and earlier. This fix restores Threat & Vulnerability Management (TVM) functionality.

101.25.69 (20.121022.12569.0)

• Microsoft Defender for Endpoint on macOS is now available in preview for US Government customers. For more information, see Microsoft Defender for Endpoint for US Government customers.
• Performance improvements (specifically for the situation when the XCode Simulator app is used) & bug fixes.

101.23.64 (20.121021.12364.0)

• Added a new option to the command-line tool to view information about the last on-demand scan. To view information about the last on-demand scan, run mdatp health —details antivirus
• Performance improvements & bug fixes

101.22.79 (20.121012.12279.0)

• Performance improvements & bug fixes

101.19.88 (20.121011.11988.0)

• Performance improvements & bug fixes

101.19.48 (20.120121.11948.0)

The old command-line tool syntax has been deprecated with this release. For information on the new syntax, see Resources.

• Added a new command-line switch to disable the network extension: mdatp system-extension network-filter disable . This command can be useful to troubleshoot networking issues that could be related to Microsoft Defender for Endpoint on Mac
• Performance improvements & bug fixes

101.19.21 (20.120101.11921.0)

101.15.26 (20.120102.11526.0)

• Improved the reliability of the agent when running on macOS 11 Big Sur
• Added a new command-line switch ( —ignore-exclusions ) to ignore AV exclusions during custom scans ( mdatp scan custom )
• Performance improvements & bug fixes

101.13.75 (20.120101.11375.0)

• Removed conditions when Microsoft Defender for Endpoint was triggering a macOS 11 (Big Sur) bug that manifests into a kernel panic
• Fixed a memory leak in the Endpoint Security system extension when running on mac 11 (Big Sur)
• Bug fixes

101.10.72

101.09.61

• Added a new managed preference for disabling the option to send feedback
• Status menu icon now shows a healthy state when the product settings are managed. Previously, the status menu icon was displaying a warning or error state, even though the product settings were managed by the administrator
• Performance improvements & bug fixes

101.09.50

This product version has been validated on macOS Big Sur 11 beta 9

The new syntax for the mdatp command-line tool is now the default one. For more information on the new syntax, see Resources for Microsoft Defender for Endpoint on macOS

The old command-line tool syntax will be removed from the product on January 1st, 2021.

Extended mdatp diagnostic create with a new parameter ( —path [directory] ) that allows the diagnostic logs to be saved to a different directory

Performance improvements & bug fixes

101.09.49

• User interface improvements to differentiate exclusions that are managed by the IT administrator versus exclusions defined by the local user
• Improved CPU utilization during on-demand scans
• Performance improvements & bug fixes

101.07.23

Added new fields to the output of mdatp —health for checking the status of passive mode and the EDR group ID

mdatp —health will be replaced with mdatp health in a future product update.

Fixed a bug where automatic sample submission was not marked as managed in the user interface

Added new settings for controlling the retention of items in the antivirus scan history. You can now specify the number of days to retain items in the scan history and specify the maximum number of items in the scan history

101.06.63

• Addressed a performance regression introduced in version 101.05.17 . The regression was introduced with the fix to eliminate the kernel panics some customers have observed when accessing SMB shares. We have reverted this code change and are investigating alternative ways to eliminate the kernel panics.

101.05.17

We are working on a new and enhanced syntax for the mdatp command-line tool. The new syntax is currently the default in the Insider Fast and Insider Slow update channels. We encourage you to famliliarize yourself with this new syntax.

We will continue supporting the old syntax in parallel with the new syntax and will provide more communication around the deprecation plan for the old syntax in the upcoming months.

• Addressed a kernel panic that occurred sometimes when accessing SMB file shares
• Performance improvements & bug fixes

101.05.16

• Improvements to quick scan logic to significantly reduce the number of scanned files
• Added autocompletion support for the command-line tool
• Bug fixes

101.03.12

• Performance improvements & bug fixes

101.01.54

• Improvements around compatibility with Time Machine
• Accessibility improvements
• Performance improvements & bug fixes

101.00.31

• Improved product onboarding experience for Intune users
• Antivirus exclusions now support wildcards
• Added the ability to trigger antivirus scans from the macOS contextual menu. You can now right-click a file or a folder in Finder and select Scan with Microsoft Defender for Endpoint
• In-place product downgrades are now explicitly disallowed by the installer. If you need to downgrade, first uninstall the existing version and reconfigure your device
• Other performance improvements & bug fixes

100.90.27

• You can now set an update channel for Microsoft Defender for Endpoint on macOS that is different from the system-wide update channel
• New product icon
• Other user experience improvements
• Bug fixes

100.86.92

• Improvements around compatibility with Time Machine
• Addressed an issue where the product was sometimes not cleaning all files under /Library/Application Support/Microsoft/Defender during uninstallation
• Reduced the CPU utilization of the product when Microsoft products are updated through Microsoft AutoUpdate
• Other performance improvements & bug fixes

100.86.91

To ensure the most complete protection for your macOS devices and in alignment with Apple stopping delivery of macOS native security updates to OS versions older than [current — 2], MDATP for Mac deployment and updates will no longer be supported on macOS Sierra [10.12]. MDATP for Mac updates and enhancements will be delivered to devices running versions Catalina [10.15], Mojave [10.14], and High Sierra [10.13].

If you already have MDATP for Mac deployed to your Sierra [10.12] devices, please upgrade to the latest macOS version to eliminate risks of losing protection.

• Performance improvements & bug fixes

100.83.73

• Added more controls for IT administrators around management of exclusions, management of threat type settings, and disallowed threat actions
• When Full Disk Access is not enabled on the device, a warning is now displayed in the status menu
• Performance improvements & bug fixes

100.82.60

• Addressed an issue where the product fails to start following a definition update.

100.80.42

100.79.42

Fixed an issue where Microsoft Defender for Endpoint on Mac was sometimes interfering with Time Machine

Added a new switch to the command-line utility for testing the connectivity with the backend service

Added ability to view the full threat history in the user interface (can be accessed from the Protection history view)

Performance improvements & bug fixes

100.72.15

100.70.99

• Addressed an issue that impacts the ability of some users to upgrade to macOS Catalina when real-time protection is enabled. This sporadic issue was caused by Microsoft Defender for Endpoint locking files within Catalina upgrade package while scanning them for threats, which led to failures in the upgrade sequence.

100.68.99

• Added the ability to configure the antivirus functionality to run in passive mode
• Performance improvements & bug fixes

100.65.28

Added support for macOS Catalina

macOS 10.15 (Catalina) contains new security and privacy enhancements. Beginning with this version, by default, applications are not able to access certain locations on disk (such as Documents, Downloads, Desktop, etc.) without explicit consent. In the absence of this consent, Microsoft Defender for Endpoint is not able to fully protect your device.

The mechanism for granting this consent depends on how you deployed Microsoft Defender for Endpoint:

• For manual deployments, see the updated instructions in the Manual deployment topic.
• For managed deployments, see the updated instructions in the JAMF-based deployment and Microsoft Intune-based deployment topics.

Источник