macOS でのMicrosoft Defender for Endpointのトラブルシューティング モード
適用対象:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Endpoint Plan 1
- macOS 用 Microsoft Defender for Endpoint
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
この記事では、macOS のMicrosoft Defender for Endpointでトラブルシューティング モードを有効にして、組織のポリシーがデバイスを管理している場合でも、管理者がさまざまなMicrosoft Defenderウイルス対策機能を一時的にトラブルシューティングできるようにする方法について説明します。
たとえば、改ざん防止が有効になっている場合、特定の設定を変更またはオフにすることはできませんが、デバイスでトラブルシューティング モードを使用して一時的に設定を編集できます。
トラブルシューティング モードは既定で無効になっており、デバイス (またはデバイスのグループ) に対して一定期間有効にする必要があります。 トラブルシューティング モードはエンタープライズ専用の機能であり、ポータルMicrosoft Defenderアクセスする必要があります。
開始する前に知っておくべきこと
トラブルシューティング モードでは、次のことができます。
macOS 機能トラブルシューティング/アプリケーション互換性 (誤検知) でMicrosoft Defender for Endpointを使用します。
適切なアクセス許可を持つローカル管理者は、個々のエンドポイントで次のポリシーロック構成を変更できます。
設定 有効にする 無効化/削除 Real-Time 保護/ パッシブ モード / オンデマンド mdatp config real-time-protection --value enabledmdatp config real-time-protection --value disabledネットワーク保護 mdatp config network-protection enforcement-level --value blockmdatp config network-protection enforcement-level --value disabledrealTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabledmdatp config real-time-protection-statistics --value disabledtags mdatp edr tag set --name GROUP --value [name]mdatp edr tag remove --tag-name [name]groupIds mdatp edr group-ids --group-id [group]エンドポイント DLP mdatp config data_loss_prevention --value enabledmdatp config data_loss_prevention --value disabled
トラブルシューティング モードでは、次のことができます。
- macOS でMicrosoft Defender for Endpointの改ざん防止を無効にします。
- macOS でMicrosoft Defender for Endpointをアンインストールします。
前提条件
- Microsoft Defender for Endpointでサポートされている macOS のバージョン。
- Microsoft Defender for Endpointは、テナントに登録され、デバイス上でアクティブである必要があります。
- Microsoft Defender for Endpointの "Security Center でセキュリティ設定を管理する" のアクセス許可。
- プラットフォーム更新プログラムのバージョン: 101.23122.0005 以降。
macOS でトラブルシューティング モードを有効にする
Microsoft Defender ポータルに移動し、サインインします。
トラブルシューティング モードを有効にするデバイス ページに移動します。 次に、省略記号 (...) を選択し、[ トラブルシューティング モードを有効にする] を選択します。
注:
[ トラブルシューティング モードを有効にする ] オプションは、デバイスがトラブルシューティング モードの前提条件を満たしていない場合でも、すべてのデバイスで使用できます。
ウィンドウに表示される情報を読み取り、準備ができたら、[ 送信] を選択して、そのデバイスのトラブルシューティング モードを有効にすることを確認します。
変更が有効なテキストが表示されるまで に数分かかる場合があります 。 この間、省略記号をもう一度選択すると、[ トラブルシューティング モードを有効にする] が [保留中] オプションが 淡色表示されます。
完了すると、デバイス ページに、デバイスがトラブルシューティング モードになったことが表示されます。
エンド ユーザーが macOS デバイスにログインしている場合、次のテキストが表示されます。
トラブルシューティング モードが開始されました。 このモードでは、管理者が管理する設定を一時的に変更できます。 YEAR-MM-DDTHH:MM:SSZ で有効期限が切れます。
[OK] を選択します。
有効にすると、トラブルシューティング モード (TS モード) で切り替えられるさまざまなコマンド ライン オプションをテストできます。
たとえば、
mdatp config real-time-protection --value disabledコマンドを使用してリアルタイム保護を無効にすると、パスワードの入力を求めるメッセージが表示されます。 パスワードを入力した後、[ OK] を選択します 。
次のスクリーンショットのような出力レポートは、
real_time_protection_enabledが "false" で、tamper_protectionが "ブロック" の mdatp 正常性の実行中に表示されます。
検出のための高度なハンティング クエリ
事前構築済みの高度なハンティング クエリがいくつか用意されており、環境内で発生しているトラブルシューティング イベントを把握できます。 これらのクエリを使用して、デバイスがトラブルシューティング モードのときにアラートを生成する 検出ルールを作成 できます。
特定のデバイスのトラブルシューティング イベントを取得する
次のクエリを使用して、それぞれの行をコメントアウトして deviceId または deviceName で検索できます。
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
現在トラブルシューティング モードのデバイス
現在トラブルシューティング モードになっているデバイスは、次のクエリを使用して見つけることができます。
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
デバイス別のトラブルシューティング モード インスタンスの数
次のクエリを使用して、デバイスのトラブルシューティング モード インスタンスの数を確認できます。
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
総件数
次のクエリを使用して、トラブルシューティング モード インスタンスの合計数を把握できます。
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
推奨されるコンテンツ
- Mac 上のエンドポイントのMicrosoft Defender XDR
- Microsoft Defender XDR for Endpoint と Microsoft Defender XDR for Cloud Apps の統合
- Microsoft Edge の革新的な機能について知る
- ネットワークを保護する
- ネットワーク保護を有効にする
- Web 保護
- インジケーターの作成
- Web コンテンツ フィルタリング
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。