Risorse
Si applica a:
- Server di Microsoft Defender per endpoint.
- Microsoft Defender per server
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Raccogliere informazioni di diagnostica
Se è possibile riprodurre un problema, aumentare prima di tutto il livello di registrazione, eseguire il sistema per qualche tempo e quindi ripristinare il livello di registrazione predefinito.
Aumentare il livello di registrazione:
mdatp log level set --level debugLog level configured successfullyRiprodurre il problema.
Eseguire il comando seguente per eseguire il backup dei log di Defender per endpoint. I file verranno archiviati all'interno di un archivio .zip.
sudo mdatp diagnostic createQuesto comando stamperà anche il percorso del file del backup dopo il completamento dell'operazione:
Diagnostic file created: <path to file>Ripristinare il livello di registrazione:
mdatp log level set --level infoLog level configured successfully
Problemi di installazione del log
Se si verifica un errore durante l'installazione, il programma di installazione segnalerà solo un errore generale.
Il log dettagliato verrà salvato in /var/log/microsoft/mdatp/install.log.
Se si verificano problemi durante l'installazione, inviare il file in modo da poter diagnosticare la causa.
Disinstallare Defender per endpoint in Linux
Esistono diversi modi per disinstallare Defender per endpoint in Linux. Se si usa uno strumento di configurazione come Puppet, seguire le istruzioni di disinstallazione del pacchetto per lo strumento di configurazione.
Disinstallazione manuale
-
sudo yum remove mdatpper RHEL e varianti (CentOS e Oracle Linux). -
sudo zypper remove mdatpper SLES e varianti. -
sudo apt-get purge mdatpper sistemi Ubuntu e Debian. -
sudo dnf remove mdatpper Mariner
Configurare dalla riga di comando
Attività importanti, ad esempio il controllo delle impostazioni del prodotto e l'attivazione di analisi su richiesta, possono essere eseguite dalla riga di comando.
Opzioni globali
Per impostazione predefinita, lo strumento da riga di comando restituisce il risultato in formato leggibile. Inoltre, lo strumento supporta anche l'output del risultato come JSON, utile per gli scenari di automazione. Per modificare l'output in JSON, passare --output json a uno dei comandi seguenti.
Comandi supportati
Nella tabella seguente sono elencati i comandi per alcuni degli scenari più comuni. Eseguire mdatp help dal terminale per visualizzare l'elenco completo dei comandi supportati.
| Gruppo | Scenario | Comando |
|---|---|---|
| Configurazione | Attivare/disattivare la protezione in tempo reale | mdatp config real-time-protection --value [enabled\|disabled] |
| Configurazione | Attivare/disattivare il monitoraggio del comportamento | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Configurazione | Attivare/disattivare la protezione cloud | mdatp config cloud --value [enabled\|disabled] |
| Configurazione | Attivare/disattivare la diagnostica del prodotto | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Configurazione | Attivare/disattivare l'invio automatico di campioni | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Configurazione | Attivare/disattivare la modalità av passiva | mdatp config passive-mode --value [enabled\|disabled] |
| Configurazione | Aggiungere/rimuovere un'esclusione antivirus per un'estensione di file | mdatp exclusion extension [add\|remove] --name [extension] |
| Configurazione | Aggiungere/rimuovere un'esclusione antivirus per un file | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Configurazione | Aggiungere/rimuovere un'esclusione antivirus per una directory | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Configurazione | Aggiungere/rimuovere un'esclusione antivirus per un processo | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Configurazione | Aggiungere/rimuovere un'esclusione globale per un file | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Configurazione | Aggiungere/rimuovere un'esclusione globale per una directory | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Configurazione | Aggiungere/rimuovere un'esclusione globale per un processo | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Configurazione | Elencare tutte le esclusioni antivirus | mdatp exclusion list |
| Configurazione | Aggiungere un nome di minaccia all'elenco consentito | mdatp threat allowed add --name [threat-name] |
| Configurazione | Rimuovere un nome di minaccia dall'elenco consentito | mdatp threat allowed remove --name [threat-name] |
| Configurazione | Elencare tutti i nomi di minaccia consentiti | mdatp threat allowed list |
| Configurazione | Attivare la protezione pua | mdatp threat policy set --type potentially_unwanted_application --action block |
| Configurazione | Disattivare la protezione pua | mdatp threat policy set --type potentially_unwanted_application --action off |
| Configurazione | Attivare la modalità di controllo per la protezione pua | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Configurazione | Configurare il grado di parallelismo per le analisi su richiesta | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Configurazione | Attivare/disattivare le analisi dopo gli aggiornamenti dell'intelligence per la sicurezza | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Configurazione | Attivare/disattivare l'analisi degli archivi (solo analisi su richiesta) | mdatp config scan-archives --value [enabled/disabled] |
| Configurazione | Attivare/disattivare il calcolo dell'hash dei file | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Diagnostica | Modificare il livello di log | mdatp log level set --level verbose [error|warning|info|verbose] |
| Diagnostica | Generare log di diagnostica | mdatp diagnostic create --path [directory] |
| Diagnostica | Limiti di dimensione per i log dei prodotti conservati | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Sanità | Controllare l'integrità del prodotto | mdatp health |
| Protezione | Analizzare un percorso | mdatp scan custom --path [path] [--ignore-exclusions] |
| Protezione | Eseguire un'analisi rapida | mdatp scan quick |
| Protezione | Eseguire un'analisi completa | mdatp scan full |
| Protezione | Annullare un'analisi su richiesta in corso | mdatp scan cancel |
| Protezione | Richiedere un aggiornamento dell'intelligence per la sicurezza | mdatp definitions update |
| Protezione | Rollback dell'intelligence di sicurezza al set predefinito originale | mdatp definitions restore |
| Cronologia protezione | Stampare la cronologia di protezione completa | mdatp threat list |
| Cronologia protezione | Ottenere i dettagli sulle minacce | mdatp threat get --id [threat-id] |
| Gestione della quarantena | Elencare tutti i file in quarantena | mdatp threat quarantine list |
| Gestione della quarantena | Rimuovere tutti i file dalla quarantena | mdatp threat quarantine remove-all |
| Gestione della quarantena | Aggiungere un file rilevato come minaccia alla quarantena | mdatp threat quarantine add --id [threat-id] |
| Gestione della quarantena | Rimuovere un file rilevato come minaccia dalla quarantena | mdatp threat quarantine remove --id [threat-id] |
| Gestione della quarantena | Ripristinare un file dalla quarantena. Disponibile in Defender per endpoint versione inferiore a 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Gestione della quarantena | Ripristinare un file dalla quarantena con l'ID minaccia. Disponibile in Defender per endpoint versione 101.23092.0012 o successiva. | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Gestione della quarantena | Ripristinare un file dalla quarantena con Threat Original Path. Disponibile in Defender per endpoint versione 101.23092.0012 o successiva. | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Rilevamento e risposta di endpoint | Impostare l'anteprima anticipata | mdatp edr early-preview [enabled\|disabled] |
| Rilevamento e risposta di endpoint | Impostare group-id | mdatp edr group-ids --group-id [group-id] |
| Rilevamento e risposta di endpoint | Impostare/rimuovere il tag, supportato solo GROUP |
mdatp edr tag set --name GROUP --value [tag] |
| Rilevamento e risposta di endpoint | Esclusioni elenco (radice) | mdatp edr exclusion list [processes|paths|extensions|all] |
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.