Monitorování chování v Antivirové ochraně v programu Microsoft Defender v systému macOS

Platí pro:

• Microsoft Defender pro XDR
• Plán 2 pro Microsoft Defender for Endpoint
• Plán 1 pro Microsoft Defender for Endpoint
• Microsoft Defender pro firmy
• Microsoft Defender pro jednotlivce
• Antivirová ochrana v Microsoft Defenderu
• Podporované verze macOS

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Požadavky

• Zařízení se onboarduje do Microsoft Defenderu for Endpoint.
• Funkce Preview jsou povolené na portálu Microsoft XDR (https://security.microsoft.com).
• Zařízení musí být v beta kanálu (dříve InsiderFast).
• Minimální číslo verze Microsoft Defenderu for Endpoint musí být Beta (Účastníci programu Insider Fast): 101.24042.0002 nebo novější. Číslo verze odkazuje na app_version (označované také jako aktualizace platformy).
• Ujistěte se, že je povolená ochrana Real-Time Protection (RTP).
• Ujistěte se, že je povolená cloudová ochrana .
• Zařízení musí být explicitně zaregistrované ve verzi Preview.

Přehled

Monitorování chování monitoruje chování procesů a zjišťuje a analyzuje potenciální hrozby na základě chování aplikací, démonů a souborů v systému. Monitorování chování sleduje, jak se software chová v reálném čase, a proto se může rychle přizpůsobit novým a vyvíjejícím se hrozbám a zablokovat je.

Pokyny k nasazení

Pokud chcete nasadit monitorování chování v Microsoft Defenderu for Endpoint v macOS, musíte změnit zásady monitorování chování pomocí jedné z následujících metod:

• Intune
• JamF nebo jiný 3^rd party MDM
• Ručně

Následující části podrobně popisují každou z těchto metod.

Nasazení Intune

1. Zkopírujte následující kód XML a vytvořte soubor .plist a uložte ho jako BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. OtevřeteProfily konfiguracezařízení>.

3. Vyberte Vytvořit profil a vyberte Nová zásada.

4. Pojmenujte profil. Změňte Platform=macOS na Profile type=Templates a v části Název šablony zvolte Vlastní . Vyberte Konfigurovat.

5. Přejděte na soubor plist, který jste si uložili dříve, a uložte ho jako com.microsoft.wdav.xml.

6. Jako název vlastního konfiguračního profilu zadejtecom.microsoft.wdav.

7. Otevřete konfigurační profil, nahrajte com.microsoft.wdav.xml soubor a vyberte OK.

8. Vyberte Spravovat>přiřazení. Na kartě Zahrnout vyberte Přiřadit všem uživatelům & Všechna zařízení nebo do skupiny zařízení nebo skupiny uživatelů.

Prostřednictvím nasazení JamF

1. Zkopírujte následující kód XML, vytvořte soubor .plist a uložte ho jako Uložit jako BehaviorMonitoring_for_MDE_on_macOS.plist.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. V částiProfily konfiguracepočítačů> vyberte Možnosti>Aplikace & vlastní nastavení.

3. Vyberte Nahrát soubor (soubor .plist ).

4. Nastavení domény předvoleb na com.microsoft.wdav

5. Nahrajte dříve uložený soubor plist.

Další informace najdete v tématu Nastavení předvoleb pro Microsoft Defender for Endpoint v macOS.

Ruční nasazení

Monitorování chování v Programu Microsoft Defender for Endpoint v systému macOS můžete povolit spuštěním následujícího příkazu z terminálu:

sudo mdatp config behavior-monitoring --value enabled

Postup zakázání:

sudo mdatp config behavior-monitoring --value disabled

Další informace najdete v tématu Zdroje informací pro Microsoft Defender for Endpoint v macOS.

Testování monitorování chování (prevence nebo blokování) detekce

Viz Ukázka monitorování chování.

Ověření detekce monitorování chování

Stávající rozhraní příkazového řádku Microsoft Defenderu for Endpoint v systému macOS můžete použít ke kontrole podrobností o monitorování chování a artefaktů.

sudo mdatp threat list

Nejčastější dotazy

Co když se mi zvýší využití procesoru nebo paměti?

Zakažte monitorování chování a zjistěte, jestli problém nezmizí.

• Pokud problém nezmizí, nesouvisí s monitorováním chování.
• Pokud problém zmizí, vezměte aka.ms/xMDEClientAnalyzer a kontaktujte podporu Microsoftu.