この記事では、問題を解決したり、LinuxでMicrosoft Defender for Endpointを構成したりするためのリソースについて説明します。 この記事では、診断情報を収集し、インストールの問題をログに記録し、コマンド ラインを使用してLinuxに Defender for Endpoint を構成する方法について説明します。 この記事では、Linuxで Defender for Endpoint をアンインストールする方法についても説明します。
診断情報を収集する
ヒント
ライブ応答で Defender for Endpoint クライアント アナライザーを実行するか、デバイス上でローカルに実行して、Linuxの Defender for Endpoint から診断情報を収集します。
問題を再現できる場合は、まずログ レベルを上げ、しばらくシステムを実行してから、ログ レベルを既定に復元します。
ログ 記録レベルを上げる:
mdatp log level set --level debugLog level configured successfully問題を再現します。
次のコマンドを実行して、Defender for Endpoint のログをバックアップします。 ファイルは、.zip アーカイブ内に格納されます。
sudo mdatp diagnostic createこのコマンドは、操作が成功した後もバックアップへのファイル パスを出力します。
Diagnostic file created: <path to file>ログ レベルの復元:
mdatp log level set --level infoLog level configured successfully
インストールの問題をログする
インストール中にエラーが発生した場合、インストーラーは一般的なエラーのみを報告します。
詳細なログは、 /var/log/microsoft/mdatp/install.logに保存されます。
インストール中に問題が発生した場合は、このファイルを送信して原因の診断に役立ててください。
コマンド ラインから構成する
製品設定の制御やオンデマンド スキャンのトリガーなどの重要なタスクは、コマンド ラインから実行できます。
グローバル オプション
既定では、コマンド ライン ツールは人間が判読できる形式で結果を出力します。 さらに、このツールでは、結果を JSON として出力することもサポートされています。これは自動化シナリオに役立ちます。 出力を JSON に変更するには、次のいずれかのコマンドに --output json を渡します。
サポート対象コマンド
次の表に、最も一般的なシナリオの一部のコマンドを示します。 ターミナルから mdatp help を実行して、サポートされているコマンドの完全な一覧を表示します。
| グループ | シナリオ | command |
|---|---|---|
| 構成 | リアルタイム保護のオン/オフを切り替える | mdatp config real-time-protection --value [enabled\|disabled] |
| 構成 | 動作監視のオン/オフを切り替える | mdatp config behavior-monitoring --value [enabled\|disabled] |
| 構成 | クラウド保護のオン/オフを切り替える | mdatp config cloud --value [enabled\|disabled] |
| 構成 | 製品診断のオン/オフを切り替える | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| 構成 | 自動サンプル送信のオン/オフを切り替える | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| 構成 | ウイルス対策パッシブ モードのオン/オフを切り替える | mdatp config passive-mode --value [enabled\|disabled] |
| 構成 | ファイル拡張子のウイルス対策除外を追加/削除する | mdatp exclusion extension [add\|remove] --name [extension] |
| 構成 | ファイルのウイルス対策除外を追加/削除する | mdatp exclusion file [add\|remove] --path [path-to-file] |
| 構成 | ディレクトリのウイルス対策の除外を追加/削除する | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| 構成 | プロセスのウイルス対策除外を追加/削除する | mdatp exclusion process [add\|remove] --path [path-to-process] |
| 構成 | ファイルのグローバル除外を追加または削除する | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| 構成 | ディレクトリのグローバル除外を追加または削除する | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| 構成 | プロセスのグローバル除外を追加または削除する | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| 構成 | すべてのウイルス対策の除外を一覧表示する | mdatp exclusion list |
| 構成 | 許可リストに脅威名を追加する | mdatp threat allowed add --name [threat-name] |
| 構成 | 許可されたリストから脅威名を削除する | mdatp threat allowed remove --name [threat-name] |
| 構成 | 許可されているすべての脅威名を一覧表示する | mdatp threat allowed list |
| 構成 | PUA 保護を有効にする | mdatp threat policy set --type potentially_unwanted_application --action block |
| 構成 | PUA 保護をオフにする | mdatp threat policy set --type potentially_unwanted_application --action off |
| 構成 | PUA 保護の監査モードを有効にする | mdatp threat policy set --type potentially_unwanted_application --action audit |
| 構成 | オンデマンド スキャンの並列処理の程度を構成する | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 構成 | セキュリティ インテリジェンスの更新後にスキャンをオンまたはオフにする | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 構成 | アーカイブ スキャンのオン/オフを切り替える (オンデマンド スキャンのみ) | mdatp config scan-archives --value [enabled/disabled] |
| 構成 | ファイル ハッシュ計算のオン/オフを切り替える | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 診断 | ログ レベルを変更する | mdatp log level set --level verbose [error|warning|info|verbose] |
| 診断 | 診断ログを生成する | mdatp diagnostic create --path [directory] |
| 診断 | 保持される製品ログのサイズ制限 | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| 正常性 | 製品の正常性を確認する | mdatp health |
| 保護 | パスをスキャンする | mdatp scan custom --path [path] [--ignore-exclusions] |
| 保護 | クイック スキャンを実行する | mdatp scan quick |
| 保護 | フル スキャンを実行する | mdatp scan full |
| 保護 | 進行中のオンデマンド スキャンを取り消す | mdatp scan cancel |
| 保護 | セキュリティ インテリジェンスの更新プログラムを要求する | mdatp definitions update |
| 保護 | セキュリティ インテリジェンスを元の既定のセットにロールバックする | mdatp definitions restore |
| 保護の履歴 | 完全な保護履歴を印刷する | mdatp threat list |
| 保護の履歴 | 脅威の詳細を取得する | mdatp threat get --id [threat-id] |
| 検疫管理 | 検疫されたすべてのファイルを一覧表示する | mdatp threat quarantine list |
| 検疫管理 | 検疫からすべてのファイルを削除する | mdatp threat quarantine remove-all |
| 検疫管理 | 脅威として検出されたファイルを検疫に追加する | mdatp threat quarantine add --id [threat-id] |
| 検疫管理 | 脅威として検出されたファイルを検疫から削除する | mdatp threat quarantine remove --id [threat-id] |
| 検疫管理 | 検疫からファイルを復元します。
101.23092.0012より前のバージョンの Defender for Endpoint で使用できます。 |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 検疫管理 | 脅威 ID を使用して検疫からファイルを復元します。 Defender for Endpoint バージョン 101.23092.0012 以降で使用できます。 |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 検疫管理 | 脅威の元のパスを使用して検疫からファイルを復元します。 Defender for Endpoint バージョン 101.23092.0012 以降で使用できます。 |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| エンドポイントの検出と対応 | 早期プレビューを設定する | mdatp edr early-preview [enabled\|disabled] |
| エンドポイントの検出と対応 | group-id を設定する | mdatp edr group-ids --group-id [group-id] |
| エンドポイントの検出と対応 | タグの設定/削除(サポートされている GROUP のみ) |
mdatp edr tag set --name GROUP --value [tag] |
Defender for Endpoint Linuxの検疫ディレクトリ
MDATP によって検疫されたファイルの既定のディレクトリは /var/opt/microsoft/mdatp/quarantine。 最適な結果を得るには、検疫ディレクトリ内でファイルを直接移動または変更するのではなく、コマンド MDATP threat quarantine を使用して検疫されたファイルを管理します。 直接ファイル操作は推奨されません。安全でサポートされている検疫管理には、常に CLI を使用します。