Overvågning af funktionsmåde i Microsoft Defender Antivirus på macOS

Artikel
05/30/2024

Gælder for:

Vigtigt!

Nogle oplysninger er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Forudsætninger

Enheden er onboardet til Microsoft Defender for Endpoint.
Prøveversionsfunktioner er aktiveret på Microsoft XDR-portalen (https://security.microsoft.com).
Enheden skal være i betakanalen (tidligere InsiderFast).
Minimal versionsnummer for Microsoft Defender for Endpoint skal være Beta (Insiders-Fast): 101.24042.0002 eller nyere. Versionsnummeret refererer til app_version (også kendt som platformsopdatering).
Sørg for, at RTP (Real-Time Protection) er aktiveret.
Sørg for, at skybaseret beskyttelse er aktiveret.
Enheden skal udtrykkeligt være tilmeldt prøveversionen.

Oversigt

Overvågning af funktionsmåde overvåger procesfunktionsmåden for at registrere og analysere potentielle trusler baseret på funktionsmåden af programmer, daemoner og filer i systemet. I takt med at overvågning af adfærd observeres, hvordan softwaren fungerer i realtid, kan den hurtigt tilpasse sig nye trusler og udviklende trusler og blokere dem.

Installationsvejledning

Hvis du vil installere overvågning af funktionsmåde i Microsoft Defender for Endpoint på macOS, skal du ændre politikken for overvågning af funktionsmåde ved hjælp af en af følgende metoder:

Intune
JamF eller anden MDM^3-part
Manuelt

I de følgende afsnit beskrives hver af disse metoder i detaljer.

Intune-installation

Kopiér følgende XML for at oprette en .plist-fil og gemme den som BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
                <key>features</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                <key>behaviorMonitoringConfigurations</key>
                <dict>
                <key>blockExecution</key>
                <string>enabled</string>
                <key>notifyForks</key>
                <string>enabled</string>
                <key>forwardRtpToBm</key>
                <string>enabled</string>
                <key>avoidOpenCache</key>
                <string>enabled</string>
                                 </dict>
                    </dict>
            </dict>
        </array>
    </dict>
</plist>

> Åbnenhedskonfigurationsprofiler.
Vælg Opret profil , og vælg Ny politik.
Giv profilen et navn. Skift Platform=macOS til Profiltype=Skabeloner, og vælg Brugerdefineret i afsnittet Skabelonnavn. Vælg Konfigurer.
Gå til den plist-fil, du gemte tidligere, og gem den som com.microsoft.wdav.xml.
Angiv com.microsoft.wdav som navnet på den brugerdefinerede konfigurationsprofil.
Åbn konfigurationsprofilen, upload filen, com.microsoft.wdav.xml og vælg OK.
Vælg Administrer>tildelinger. Under fanen Medtag skal du vælge Tildel til alle brugere & Alle enheder eller til en enhedsgruppe eller brugergruppe.

Via JamF-installation

Kopiér følgende XML for at oprette en .plist-fil , og gem den som Gem som BehaviorMonitoring_for_MDE_on_macOS.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
                <key>features</key>
                     <dict>
                         <key>behaviorMonitoring</key>
                         <string>enabled</string>
                         <key>behaviorMonitoringConfigurations</key>
                             <dict>
                                 <key>blockExecution</key>
                                 <string>enabled</string>
                                 <key>notifyForks</key>
                                 <string>enabled</string>
                                 <key>forwardRtpToBm</key>
                                 <string>enabled</string>
                                 <key>avoidOpenCache</key>
                                 <string>enabled</string>
                             </dict>
                     </dict>
    </dict>
</plist>

Under Computere>Konfigurationsprofiler skal du vælge Indstillinger Programmer>& Brugerdefinerede indstillinger,
Vælg Overfør fil (.plist-fil ).
Angiv præferencedomæne til com.microsoft.wdav
Upload den plist-fil, der er gemt tidligere.

Du kan finde flere oplysninger under: Angiv indstillinger for Microsoft Defender for Endpoint på macOS.

Manuel udrulning

Du kan aktivere overvågning af funktionsmåde på Microsoft Defender for Endpoint på macOS ved at køre følgende kommando fra Terminal:

sudo mdatp config behavior-monitoring --value enabled

Sådan deaktiverer du:

sudo mdatp config behavior-monitoring --value disabled

Du kan finde flere oplysninger under: Ressourcer til Microsoft Defender for Endpoint på macOS.

Sådan tester du overvågning af funktionsmåde (forebyggelse/blokering)

Se Demonstration af overvågning af funktionsmåde.

Kontrollerer registrering af overvågning af funktionsmåde

Den eksisterende Microsoft Defender for Endpoint på macOS-kommandolinjegrænsefladen kan bruges til at gennemse oplysninger og artefakter om overvågning af funktionsmåde.

sudo mdatp threat list

Ofte stillede spørgsmål

Hvad sker der, hvis jeg ser en stigning i CPU-forbruget eller hukommelsesudnyttelsen?

Deaktiver overvågning af funktionsmåde, og se, om problemet forsvinder.

Hvis problemet ikke forsvinder, er det ikke relateret til overvågning af funktionsmåde.
Hvis problemet forsvinder, skal du tage en aka.ms/xMDEClientAnalyzer og kontakte Microsoft Support.

Del via