مراقبة السلوك في برنامج الحماية من الفيروسات Microsoft Defender على macOS

نظرة عامة على مراقبة السلوك

تراقب مراقبة السلوك سلوك العملية للكشف عن التهديدات المحتملة وتحليلها استنادا إلى سلوك التطبيقات والخفية والملفات داخل النظام. نظرا لأن مراقبة السلوك تلاحظ كيفية تصرف البرنامج في الوقت الحقيقي، يمكنه التكيف بسرعة مع التهديدات الجديدة والمتطورة ومنعها.

المتطلبات الأساسية

• يجب إلحاق الجهاز Microsoft Defender لنقطة النهاية.
• للحصول على أفضل تجربة، يجب أن تكون Microsoft Defender محدثة بأحدث إصدار.
• يجب أن يكون الحد الأدنى لرقم إصدار Microsoft Defender لنقطة النهاية هو 101.25032.0006 أو أحدث. يشير رقم الإصدار إلى app_version (المعروف أيضا باسم تحديث النظام الأساسي).
• يجب تمكين الحماية في الوقت الحقيقي (RTP).
• يجب تمكين الحماية المقدمة من السحابة.

إرشادات التوزيع لمراقبة السلوك

سيتم تشغيل مراقبة السلوك قريبا بشكل افتراضي. يمكنك تأكيد حالة تسجيل جهازك عن طريق التحقق من إخراج mdatp health --details features in your terminal. إذا لم يكن ممكنا بالفعل، يجب عليك تكوينه.

لنشر مراقبة السلوك في Microsoft Defender لنقطة النهاية على macOS، يجب تغيير نهج مراقبة السلوك باستخدام إحدى الطرق التالية:

• Intune
• JamF أو غيرها من الأجهزة غير التابعة ل Microsoft MDM
• يدويا

تصف الأقسام التالية كل أسلوب من هذه الطرق بالتفصيل.

توزيع Intune

1. انسخ XML التالي لإنشاء ملف .plist وحفظه ك BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. افتحملفات تعريف تكوينالأجهزة>.

3. حدد Create profile وحدد New Policy.

4. امنح ملف التعريف اسما. قم بتغيير Platform=macOS إلى Profile type=Templates واختر Custom في قسم template name. حدد تكوين.

5. انتقل إلى ملف plist الذي حفظته سابقا واحفظه ك com.microsoft.wdav.xml.

6. حدد com.microsoft.wdavكاسم ملف تعريف التكوين المخصص.

7. افتح ملف تعريف التكوين وقم بتحميل com.microsoft.wdav.xml الملف وحدد موافق.

8. حدد إدارة>التعيينات. في علامة التبويب تضمين ، حدد تعيين إلى كافة المستخدمين & كافة الأجهزة أو إلى مجموعة أجهزة أو مجموعة مستخدمين.

توزيع JamF

1. انسخ XML التالي لإنشاء ملف .plist واحفظه ك Save as BehaviorMonitoring_for_MDE_on_macOS.plist:

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
           <key>features</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
       </dict>
   </plist>
   

2. فيملفات تعريف تكوينأجهزة الكمبيوتر>، حدد خيارات>التطبيقات & الإعدادات المخصصة،

3. حدد Upload File (ملف.plist ).

4. تعيين مجال التفضيل إلى com.microsoft.wdav.

5. قم بتحميل ملف plist المحفوظ سابقا.

لمزيد من المعلومات، راجع: تعيين تفضيلات Microsoft Defender لنقطة النهاية على macOS.

النشر اليدوي

يمكنك تمكين مراقبة السلوك على Microsoft Defender لنقطة النهاية على macOS عن طريق تشغيل الأمر التالي من Terminal:

sudo mdatp config behavior-monitoring --value enabled

لتعطيل:

sudo mdatp config behavior-monitoring --value disabled

لمزيد من المعلومات، راجع: موارد Microsoft Defender لنقطة النهاية على macOS.

التحقق من تمكين مراقبة السلوك

للتحقق من تمكين مراقبة السلوك، افتح Terminal، وانسخ الأمر التالي وقم بتشغيله:

mdatp health --details features

عند تمكين مراقبة السلوك، تعرض النتيجة قيمة على أنها ممكنة behavior_monitoring .

لاختبار الكشف عن مراقبة السلوك (الوقاية/الحظر)

راجع العرض التوضيحي لمراقبة السلوك.

التحقق من اكتشافات مراقبة السلوك

يمكن استخدام Microsoft Defender لنقطة النهاية الموجودة على واجهة سطر أوامر macOS لمراجعة تفاصيل مراقبة السلوك والبيانات الاصطناعية.

sudo mdatp threat list

الأسئلة المتداولة

ماذا لو رأيت زيادة في استخدام وحدة المعالجة المركزية أو استخدام الذاكرة؟

تعطيل مراقبة السلوك ومعرفة ما إذا كانت المشكلة ستزول. إذا لم تزول المشكلة، فهي لا تتعلق بمراقبة السلوك.

إذا ذهبت المشكلة بعيدا، فقم بإعادة تمكين مراقبة السلوك واستخدام إحصائيات مراقبة السلوك لتحديد واستبعاد العمليات التي تولد أحداثا مفرطة:

sudo mdatp config behavior-monitoring-statistics --value enabled

أعد توفير المشكلة ثم قم بتنفيذ:

sudo mdatp diagnostic behavior-monitoring-statistics --sort

يسرد هذا الأمر العمليات التي تعمل على الجهاز والتي تبلغ عن أحداث مراقبة السلوك إلى عملية المحرك. كلما زادت الأحداث، زاد تأثير وحدة المعالجة المركزية/الذاكرة على هذه العملية.

استبعاد العمليات المحددة باستخدام:

sudo mdatp exclusion process add --path <path to process with lots of events>

هام

تحقق من موثوقية العمليات التي يتم استبعادها. سيؤدي استبعاد هذه العمليات إلى منع إرسال جميع الأحداث إلى مراقبة السلوك ومن الخضوع لفحص المحتوى. ومع ذلك، سيستمر EDR في تلقي الأحداث من هذه العمليات. من المهم ملاحظة أنه من غير المحتمل أن يقلل هذا التخفيف من استخدام وحدة المعالجة wdavdaemon المركزية للعمليات أو wdavdaemon_enterprise ، ولكنه قد يؤثر على wdavdaemon_unprivileged. إذا كانت العمليتان الأخريان تواجهان أيضا استخداما عاليا لوحدة المعالجة المركزية، فقد لا تكون مراقبة السلوك السبب الوحيد، ويوصى بالاتصال بدعم Microsoft.

بمجرد الانتهاء، قم بتعطيل إحصائيات مراقبة السلوك:

sudo mdatp config behavior-monitoring-statistics --value disabled

إذا استمرت المشكلة، خاصة بعد إعادة التشغيل، فقم بتنزيل محلل عميل XMDE، ثم اتصل بدعم Microsoft.

فحص الشبكة في الوقت الحقيقي لنظام التشغيل macOS

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

يعزز فحص الشبكة في الوقت الحقيقي (NRI) لميزة macOS الحماية في الوقت الحقيقي (RTP) باستخدام مراقبة السلوك بالتنسيق مع الملفات والعملية والأحداث الأخرى للكشف عن النشاط المشبوه. تؤدي مراقبة السلوك إلى تشغيل كل من بيانات تتبع الاستخدام ونماذج عمليات الإرسال على الملفات المشبوهة ل Microsoft لتحليلها من الخلفية للحماية السحابية، ويتم تسليمها إلى جهاز العميل، ما يؤدي إلى إزالة التهديد.

هل هناك تأثير على الأداء؟

يجب أن يكون ل NRI تأثير منخفض على أداء الشبكة. بدلا من عقد الاتصال والحظر، يقوم NRI بعمل نسخة من الحزمة أثناء عبورها للشبكة، ويقوم NRI بإجراء فحص غير متزامن.

ملاحظة

عند تمكين فحص الشبكة في الوقت الحقيقي (NRI) لنظام التشغيل macOS، قد ترى زيادة طفيفة في استخدام الذاكرة.

متطلبات NRI لنظام التشغيل macOS

• يجب إلحاق الجهاز Microsoft Defender لنقطة النهاية.
• يجب تشغيل ميزات المعاينة في مدخل Microsoft Defender.
• يجب أن يكون الجهاز في قناة بيتا (سابقا InsiderFast).
• يجب أن يكون الحد الأدنى لرقم إصدار Defender لنقطة النهاية بيتا (Insiders-Fast): 101.24092.0004 أو أحدث. يشير رقم الإصدار إلى app version (المعروف أيضا باسم تحديث النظام الأساسي).
• يجب تمكين الحماية في الوقت الحقيقي.
• يجب تمكين مراقبة السلوك.
• يجب تمكين الحماية المقدمة من السحابة.
• يجب تسجيل الجهاز بشكل صريح في المعاينة.

إرشادات التوزيع ل NRI لنظام التشغيل macOS

1. أرسل إلينا NRIonMacOS@microsoft.com عبر البريد الإلكتروني مع معلومات حول Microsoft Defender لنقطة النهاية OrgID حيث ترغب في تمكين فحص الشبكة في الوقت الحقيقي (NRI) لنظام التشغيل macOS.

   هام

   لتقييم NRI لنظام التشغيل macOS، أرسل بريدا إلكترونيا إلى NRIonMacOS@microsoft.com. قم بتضمين معرف مؤسسة Defender لنقطة النهاية. نحن نقوم بتمكين هذه الميزة على أساس كل طلب لكل مستأجر.

2. تمكين مراقبة السلوك إذا لم تكن ممكنة بالفعل:

   sudo mdatp config behavior-monitoring --value enabled   
   

3. تمكين حماية الشبكة في وضع الحظر:

   sudo mdatp config network-protection enforcement-level --value block
   

4. تمكين فحص الشبكة في الوقت الحقيقي (NRI):

   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   

   ملاحظة

   أثناء معاينة هذه الميزة، ونظرا لتعيين الإعداد باستخدام سطر الأوامر، لا يستمر فحص الشبكة في الوقت الحقيقي (NRI) بعد عمليات إعادة التشغيل. يجب إعادة تمكينه.