Microsoft Defender for Endpoint Troubleshooting modu, normalde kuruluş politikalarıyla veya tamper protection ile korunan çeşitli Microsoft Defender cihazlarının özelliklerinde sorun gidermenizi sağlar.
Troubleshooting mod varsayılan olarak devre dışıdır ve Microsoft Defender for Endpoint arayüzünden manuel olarak etkinleştirilmesi gerekir.
Tamper Protection, Defender for Endpoint portalından veya Intune/ Configuration Manager Tenant Attach’tan etkinleştirilebilirsiniz. Önceden en büyük dezavantaj ConfigMgr, PowerShell veya GPO tarafından yönetilen cihazlar için Tamper Protection dağıtma imkanı olmamasıydı. Troubleshooting mod ile bir cihazda esnek bir şekilde sorun gidermek ve ConfigMgr ve GPO tarafından yönetilen cihazlar dahil olmak üzere desteklenen tüm platformlar için portaldan genel olarak Tamper Korumasını yapılandırmak mümkün durumda.
Gereksinimler
Microsoft Defender for Endpoint Troubleshooting mode cihaz grubu için çalışır ve aşağıdaki işletim sistemi sürümleri için desteklenir.
- A device running Windows 10 (version 19044.1618 or later), Windows 11, Windows Server 2019, or Windows Server 2022 is supported.
- Defender for Endpoint must be running Microsoft Defender Antivirus, version 4.18.2203 or later ( Use Get-MpComputerStatus for validating the version)
- Access to Microsoft 365 Defender
- Manage Security settings permissions in Defender for Endpoint
Update 12-09-2022: Server 2012R2/ Server 2016 installed with the MDE unified agent and updated with the latest EDR sensor (KB5005292/ Defender product update (KB4052623) is now supported for the new troubleshooting mode.
Server 2012R2 requires the following versions:
- Sense version 10.8049.22439.1084 or later (KB5005292)
- Defender Antivirus – Platform: 4.18.2207.7 or later (KB4052623)
- Defender Antivirus – Engine: 1.1.19500.2 or later (KB2267602)
Local adminler Microsoft Defender Antivirus paketindeki diğer tüm güvenlik ayarlarını yapılandırabilecek (örneğin, cloud protection ve tamper protectin vs).
Nasıl Çalışır ?
Microsoft Defender for Endpoint Troubleshooting mode, cihazlarda yerel olarak etkinleştirerek veya devre dışı bırakarak çeşitli Defender antivirüs özelliklerinde sorun gidermeye olanak tanır. Troubleshooting modu genellikle bazı durumları faydalı olacaktır. Microsoft Defender Antivirüs troubleshootingve
Microsoft Defender Antivirüs cihaz performans sorunlarını giderme bunların başlıcaları.
Troubleshooting modu Açılması
Troubleshooting modu, Microsoft 365 Defender portalından etkinleştirilebilen tek bir cihaz için oluşturulan tek kullanımlık bir komutla başlamaktadır. Troubleshooting penceresi 4 saattir ve daha kısa veya daha uzun bir pencerede değiştirilemez ve sorun giderme modunu 4 saatten önce iptal etme seçeneği bulunmamaktadır.
Cihazları sorun giderme modunda etkinleştirmek için cihazın Devices sekmesinden ilgili cihaza tıklayarak aşağıdaki adımları sağlamanız gerekmektedir;
Troubleshooting Modu açtığınızda ilk olarak aşağıdaki gibi “pending” mesajını göreceksiniz daha sonra “on” olarak güncellenecek ve tüm troubleshooting süresi boyunca gri renkte kalır ve durumu gösterecektir.
Son kullanıcı ise bilgisayarında aşağıdaki gibi bir uyarı görecektir.
Timeline event
Troubleshooting mode başlatıldığında Timeline altında eventlar listesinde enabled edildiği event altında görüntüleyebileceğiz.
Etkinleştirmeden önce tüm MpPreference ayarlarından bir anlık görüntü alınacaktır. Trobuleshooting modu etkinleştirildiğinde; yerel yöneticilerin, Tamper Protection devre dışı bırakmasına ve Defender for Endpoint’in güvenlik ayarlarını değiştirmesine izin verilmektedir.
Troubleshooting modu etkinleştirildikten sonra Tamper Protection devre dışı bırakılabilir. Windows Server veya Windows 10/11’in son sürümleri için Tamper Protection devre dışı bırakılması Defender GUI aracılığıyla aşağıdaki şekilde mümkündür.
Eski sürümler için devre dışı bırakma PowerShell kullanılarak mümkündür. 2012R2 için GUI mevcut olmadığından Tamper Protection devre dışı bırakmak için aşağıdaki PowerShell komutunu kullanılabilir.
Set-MPPreference -DisableTamperProtection $true
Ayrıca, aşağıdaki diğer komutları da yine Troubleshooting modda kullanılabilir;
- Set-MpPreference -DisableRealTimeMonitoring $True for disabling RTP
- Set-MpPreference -EnableNetworkProtection Disabled for disabling network protection
Exclusion girilmek istendiğinde;
- Set-MpPreference -ExclusionPath
- Set-MpPreference –ExclusionExtension
- Set-MpPreference –ExclusionProcess
komutları kullanılabilir.
Troubleshooting Modu devre dışı bırakma
Trobuleshooting modunu devre dışı bırakma seçeneği yoktur. Etkinleştirmeden sonra bakım modu her zaman 4 saat boyunca aktiftir.
Trobuleshooting modunun bitiminden önce, tüm MpPreference ayarlarından ikinci bir anlık görüntü daha alınır.
Sorun giderme modu devre dışı bırakıldığında, politikayla yönetilen tüm yapılandırmalar yeniden salt okunur hale gelecek ve Tamper Protection etkinleştirilmiş dahil olmak üzere orijinal durumuna geri dönecektir.
Uç Nokta için Microsoft Defender, sorun giderme süreci boyunca günlükleri ve araştırma verilerini toplamaktadır. Trobulshooting modu başlamadan önce MpPreference’ın anlık görüntüsü alınacaktır; sorun gidermenin süresi dolmadan hemen önce başka bir anlık görüntü alınacaktır. Operasyonel günlükler de dahil olmak üzere tüm veriler ve günlükler , Microsoft 365 Defender’daki Collect investigation package butonuyla alınacaktır. Aşağıdaki adreslerden loglar edinebilir.
- Yerel paylaşım: C:\ProgramData\Microsoft\Windows Defender\Snapshots
- WdSupportLogs: WdSupportLogs\MPSupportFiles\ProgramData\Microsoft\Windows Defender\Snapshots
Ortamınızda meydana gelen sorun giderme olaylarını görebilmenizi sağlayacak önceden oluşturulmuş bazı gelişmiş arama sorgularını aşağıdaki adresten edinebilir ve Advanced Hunting yetenekleri ile araştırabilirsiniz.
Thanks to jeffreyappel.nl