Planifier des analyses avec Microsoft Defender pour point de terminaison sur macOS
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Planifier une analyse intégrée à Microsoft Defender pour point de terminaison sur macOS
Bien que vous puissiez démarrer une analyse des menaces à tout moment avec Microsoft Defender pour point de terminaison, votre entreprise peut tirer parti des analyses planifiées ou chronomodées. Par exemple, vous pouvez planifier l’exécution d’une analyse au début de chaque jour ou semaine.
Il existe trois types d’analyses planifiées configurables : les analyses horaires, quotidiennes et hebdomadaires. Les analyses planifiées toutes les heures et tous les jours sont toujours exécutées sous forme d’analyses rapides, les analyses hebdomadaires peuvent être configurées pour être des analyses rapides ou complètes. Il est possible d’avoir les trois types d’analyses planifiées en même temps. Consultez les exemples de cet article.
Configuration requise:
- Version de mise à jour de la plateforme : 101.23122.0005 ou version ultérieure
Planifier une analyse avec Microsoft Defender pour point de terminaison sur macOS
Vous pouvez créer une analyse planifiée pour votre macOS, qui est intégrée à Microsoft Defender pour point de terminaison sur macOS.
Pour plus d’informations sur le format de .plist
fichier utilisé ici, consultez À propos des fichiers de liste de propriétés d’informations sur le site web officiel des développeurs Apple.
L’exemple suivant montre la configuration quotidienne et/ou hebdomadaire de l’analyse planifiée sur macOS.
Conseil
Les planifications sont basées sur le fuseau horaire local de l’appareil.
Paramètre | Les valeurs acceptables pour ce paramètre sont les suivantes : |
---|---|
scheduledScan |
enabled ou disabled |
scanType |
quick ou full |
ignoreExclusions |
true ou false |
lowPriorityScheduledScan |
true ou false |
dayOfWeek |
La plage est comprise entre 0 et 8 . - 0 :Quotidien- 1 :Dimanche- 2 :Lundi- 3 :Mardi- 4 :Mercredi- 5 :Jeudi- 6 :Vendredi- 7 :Samedi- 8 :Jamais |
timeOfDay |
Spécifie l’heure de la journée, en tant que nombre de minutes after midnight , pour effectuer une analyse planifiée. L’heure fait référence à l’heure locale sur l’ordinateur. Si vous ne spécifiez pas de valeur pour ce paramètre, une analyse planifiée s’exécute à une heure par défaut de deux heures après minuit. |
interval |
0 (jamais), every 1 (heure) à every 24 (heures, une analyse par jour) |
randomizeScanStartTime |
Applicable uniquement aux analyses rapides quotidiennes ou aux analyses rapides/complètes hebdomadaires. Aléatoirez l’heure de début de l’analyse en fonction du nombre d’heures spécifié. Par exemple, si une analyse est planifiée pour 14 h et randomizeScanStartTime est définie sur 2, l’analyse commence à une heure aléatoire entre 14 h et 16 h. |
Votre analyse planifiée s’exécute à la date, à l’heure et à la fréquence que vous avez définies dans votre plist
.
Exemple 1 : Planifier une analyse rapide quotidienne et une analyse complète hebdomadaire à l’aide d’une liste plist
Dans l’exemple suivant, la configuration de l’analyse rapide quotidienne est définie pour s’exécuter à 885 minutes après minuit (14 h 45). La configuration hebdomadaire est définie pour exécuter une analyse complète le mercredi à 880 minutes après minuit (14h40). Et il est configuré pour ignorer les exclusions et exécuter une analyse de faible priorité.
Le code suivant montre le schéma que vous devez utiliser pour planifier les analyses en fonction des exigences mentionnées précédemment.
- Ouvrez un éditeur de texte et utilisez cet exemple comme guide pour votre propre fichier d’analyse planifiée.
Par Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Enregistrez le fichier sous
com.microsoft.wdav.mobileconfig
.
Pour JamF et autres MDM tiers
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Enregistrez le fichier sous
com.microsoft.wdav.plist
.Vérifiez que l’analyse planifiée est configurée via une « Préférence définie »
mdatp health --details scheduled_scan
Dans les résultats, vous devriez être en mesure de voir [managé].
Exemple 2 : Planifier une analyse rapide toutes les heures, une analyse rapide quotidienne et une analyse complète hebdomadaire à l’aide d’une liste plist
Dans l’exemple suivant, une analyse rapide toutes les heures s’exécute toutes les 6 heures, une configuration d’analyse rapide quotidienne est définie pour s’exécuter à 885 minutes après minuit (14 h 45), et une analyse complète hebdomadaire s’exécute le mercredi à 880 minutes après minuit (14 h 40).
Pour Intune :
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- Enregistrez le fichier sous
com.microsoft.wdav.mobileconfig
.
Pour JamF et autres MDM tiers
- Ouvrez un éditeur de texte et utilisez cet exemple.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
Enregistrez le fichier sous
com.microsoft.wdav.plist
.Vérifiez que l’analyse planifiée est configurée via une « Préférence définie »
mdatp health --details scheduled_scan
Dans les résultats, vous devriez être en mesure de voir [managé].
Option 3 : Configurer des analyses planifiées via l’outil CLI
Pour activer la fonctionnalité d’analyse planifiée :
Version | Command |
---|---|
Version 101.23122.x ou ultérieure | sudo mdatp config scheduled-scan settings feature --value enabled |
Pour planifier des analyses rapides toutes les heures :
Version | Command |
---|---|
Version 101.23122.x ou ultérieure | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
Pour planifier des analyses rapides quotidiennes :
Version | Command |
---|---|
Version 101.23122.x ou ultérieure | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
Pour planifier des analyses hebdomadaires :
Version | Command |
---|---|
Version 101.23122.x ou ultérieure | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
Pour les autres options de configuration :
Pour case activée la mise à jour des définitions avant les analyses planifiées :
sudo mdatp config scheduled-scan settings check-for-definitions --value true
Pour utiliser des threads de faible priorité pour l’analyse planifiée :
sudo mdatp config scheduled-scan settings low-priority --value true
Vérifier que l’analyse planifiée a été exécutée
Utilisez la commande suivante :
mdatp scan list
\<snip\>
Importante
Les analyses planifiées ne s’exécutent pas à l’heure planifiée pendant que l’appareil est en veille. Au lieu de cela, les analyses planifiées s’exécutent lorsque l’appareil reprend le mode veille. Si l’appareil est éteint, l’analyse s’exécute à l’heure d’analyse planifiée suivante.
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.