Troubleshooting Mode di Microsoft Defender for Endpoint: come aiuta gli IT Admin a risolvere i problemi sull’Endpoint

Ho scritto diverse volte di Microsoft Defender for Endpoint e di come esso aiutare a proteggere le vostre organizzazioni in ottica Zero Trust da attacchi informatici sempre più sofisticati.

A questo proposito vi riepilogo gli articoli inerenti a questa funzionalità:

Quante volte vi sarà capitato di sentire da fornitori di software o da colleghi di sviluppo “mi disabiliti la componente antivirus perché il software che devo utilizzare è diventato lento?” Ecco, la funzionalità di Troubleshooting di Microsoft Defender for Endpoint è adatta a rispondere a questo tipo di esigenze.

La Troubleshooting mode di Default risulta disabilitata ed è quindi necessario abilitare questa funzionalità prima di poterla utilizzare su un gruppo di dispositivi, inoltre è bene specificare che questo servizio è disponibile solo per le aziende in quanto è necessario l’accesso al portale di Microsoft Defender all’interno del proprio tenant di Microsoft 365.

Vi mostro ora cosa è possibile fare attraverso questa modalità in modo tale da calarla all’interno degli scenari della vostra quotidianità:

  • Utilizzare questa funzionalità per disabilitare/ cambiare lo stato della Tamper Protection per:
    • Eseguire Troubleshooting di applicazioni che vengono bloccate (falsi positivi)
  • Utenti amministratori locali, con autorizzazioni idonee, possono modificare le configurazioni di Microsoft Defender for Endpoint che generalmente sono bloccate dalle policy di configurazione. Questa funzionalità può inoltre essere utile per eseguire “diagnosi” delle prestazioni del dispositivo:
    • Gli amministratori locali non possono disattivare defender Antivirus o disinstallarlo con questa modalità
    • Gli amministratori locali possono configurare tutte le altre impostazioni di sicurezza incluse nella suite di Microsoft Defender (come ad esempio Protezione Cloud o Tamper Protection)

 

Ma cosa succede una volta che attivate questa funzionalità?

Una volta che avrete abilitato questa funzionalità, il sensore di MDE (Microsoft Defender for Endpoint):

NB: Quando la modalità di Troubleshooting è attiva gli aggiornamenti della piattaforma MDE sull’Endpoint non vengono applicati e anche le modifiche alle policy di configurazione vengono recepite dal device, ma non vengono applicate.

 

Quando dura la modalità di Troubleshooting?

E’ bene dire che la funzionalità una volta attivata potrebbe essere recepita dall’endpoint nel giro di 15 minuti, ed una volta attivata ha la durata massima di 4 ore, e dopo questo periodo le configurazioni / policy diventano in sola lettura e vengono ripristinate recuperando le configurazioni applicate dal portale di Microsoft Defender.

Le attività svolte vengono tracciate?

Le attività che gli amministratori locali svolgono durante l’attivazione di questa funzionalità vengono tracciate all’interno della TimeLine, visualizzabile all’interno del portale di Microsoft Defender, ma anche all’interno del registro eventi di Windows.

Licenze

Per sfruttare la funzionalità che vi descrivo all’interno di questo articolo sono necessarie le seguenti licenze, o suite che al proprio interno le hanno:

  • Microsoft Defender for Server
  • Microsoft Defender for Endpoint P1
  • Microsoft Defender for Endpoint P2
  • Microsoft Defender for Business

Quando parliamo di licenze Microsoft 365 non possiamo non citare Aaron Dinnage che ha messo a disposizione un sito che ci permette di avere evidenza della funzionalità di ogni singolo Workload Home | M365 Maps

Prerequisiti

Per utilizzare questa funzionalità, messa a disposizione dalla casa di Redmond è necessario tenere presente dei prerequisiti che vi riepilogo:

  • Il dispositivo deve avere installato Windows 10 (versione 19044.1618 o successiva), Windows 11, Windows Server 2019 o Windows Server 2022, vi riassumo anche all’interno di questa tabella le Build necessarie
Semestre/Redstone Versione di Sistema Operativo Rilascio
21H2/SV1 >=22000,593 Microsoft Update Catalog
20H1/20H2/21H1 >=19042.1620

>=19041.1620

>=19043.1620

Microsoft Update Catalog
Windows Server 2022 >=20348.617 Microsoft Update Catalog
Windows Server 2019 (RS5) >=17763,2746 Microsoft Update Catalog

 

Svolgimento

Ora che insieme abbiamo smarcato prerequisiti e abbiamo visto quali licenze servono e cosa succede quando questa modalità attiva, vi spiego come abilitarla. Nello scenario utilizzerò una Virtual Machines Windows 11 in hosting presso Microsoft Azure chiamata UserLaptop e simulerò il Download di un file Eicar (simulando che sia un download di un applicativo lecito) per darvi evidenza di come una volta abilitata la troubleshooting mode sia possibile eseguire il file senza i controlli di MDE.

Figura 1: UserLaptop gestito da Microsoft Intune per l’applicazione delle policy relative a MDE

Figura 2: UserLaptop correttamente visto dalla console di MDE

Figura 3: Utente demo con licenza Microsoft 365 E5 assegnata e quindi comprende Defender for Endpoint Piano 2

Ora collegandomi alla Virtual Machine vi do evidenza che le impostazioni come ad esempio la Tamper Protection, risulta gestita e non disattivabile

Figura 4: Impostazioni gestite e non disattivabili

Ora procederò a scaricare il file eicar per darvi evidenza della protezione attiva di Microsoft Defender for endpoint, il file lo scaricherò dal seguente link Download Anti Malware Testfile – EICAR questi file sono molto utili ad eseguire test sul funzionamento della componente antivirus e utili quindi anche a generare degli Alert di test nella console di Microsoft Defender

Figura 5: Download File Eicar

Figura 6: Virus rilevato da Defender for Endpoint all’interno del computer di demo

Ora per attivare la troubleshooting mode recatevi all’interno del portale di Microsoft Defender Security & Compliance (microsoft.com)

Figura 7: Attivazione Troubleshooting Mode per il dispositivo userlaptop

Figura 8: Attivazione Troubleshooting mode sul dispositivo di demo

Figura 9: Conferma dell’attivazione della modalità di Troubleshooting

Figura 10: Comando di attivazione lanciato correttamente

Ora, come detto in precedenza potrebbero volerci fino a 15 minuti per rendere effettiva la modifica, nel mio caso sono bastati 12 minuti, quindi loggandovi all’interno del vostro dispositivo vedrete che sarà possibile disabilitare la tamper protection

Figura 11: Troubleshooting Mode attivata in modo corretto e attiva sull’endpoint di Demo

Figura 12: Possibilità di Disabilitare la Tamper Protection

Eseguiamo a disabilitarla

Figura 13: Rimozione Tamper Protection

Ora sarete abili anche a disabilitare la realtime protection

Figura 14: Disabilitare Real-Time Protection

Ora vi darò evidenza che possiamo scaricare tranquillamente Eicar file senza che defender intervenga

Figura 15: Download file eicar per simulare un programma considerato malevolo da Microsoft Defender for Endpoint

Figura 16: File non viene bloccato da Defender for Endpoint

Se volete approfondire i possibili scenari dell’uso di questa funzionalità vi rimando all’articolo ufficiale Microsoft Troubleshooting mode scenarios in Microsoft Defender for Endpoint – Microsoft Defender for Endpoint | Microsoft Learn

Collezionare Log durante Troubleshooting Mode

Ora vorrei darvi evidenza di possibili ricerche avanzate o comandi utili per collezzionare log durante la modalità in oggetto.

Figura 17: KQL per verificare lo stato della modalità di Troubleshooting passando il parametro di “DeviceName”

Figura 18: KQL per verificare quali device hanno la troubleshooting mode attiva

Figura 19: Visualizzazione di quando la troubleshooting mode è stata abilitata sull’endpoint

Conclusioni

Come avete potuto notare questo servizio offerto da Microsoft Defender for Endpoint è uno strumento veramente molto utile, sia in fase di cambio da una software di terze parti verso MDE per analizzare nel dettaglio possibili blocchi, ma anche per verificare da parte degli IT Admin problemi magari legati all’utilizzo anomalo da parte della CPU.

Inoltre molte volte mi è capitato di dover utilizzare questa funzionalità per aggiornamenti di software di produzione da parte dei fornitori che richiedevano di disabilitare per il tempo necessario all’aggiornamento dell’antivirus, in questo modo potete rispondere proprio a questa esigenza con poco effort e mantenendo tutto tracciato all’interno del portale di Microsoft Defender