Verhaltensüberwachung in Microsoft Defender Antivirus unter macOS

Gilt für:

• Microsoft Defender für XDR
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Unternehmen
• Microsoft Defender für Einzelpersonen
• Microsoft Defender Antivirus
• Unterstützte Versionen von macOS

Übersicht über die Verhaltensüberwachung

Die Verhaltensüberwachung überwacht das Prozessverhalten, um potenzielle Bedrohungen basierend auf dem Verhalten der Anwendungen, Daemons und Dateien im System zu erkennen und zu analysieren. Da die Verhaltensüberwachung beobachtet, wie sich die Software in Echtzeit verhält, kann sie sich schnell an neue und sich entwickelnde Bedrohungen anpassen und diese blockieren.

Voraussetzungen

• Das Gerät muss in Microsoft Defender for Endpoint integriert werden.
• Um eine optimale Erfahrung zu erzielen, sollten Microsoft Defender mit der neuesten Version auf dem neuesten Stand sein.
• Die Mindestversionsnummer Microsoft Defender for Endpoint muss 101.25032.0006 oder höher sein. Die Versionsnummer bezieht sich auf das app_version (auch als Plattformupdate bezeichnet).
• Echtzeitschutz (Real-Time Protection, RTP) muss aktiviert sein.
• Der von der Cloud bereitgestellte Schutz muss aktiviert sein.

Bereitstellungsanweisungen für die Verhaltensüberwachung

Die Verhaltensüberwachung ist in Kürze standardmäßig aktiviert. Sie können die Registrierung Ihres Geräts status bestätigen, indem Sie die Ausgabe der Features von mdatp health --details in Ihrem Terminal überprüfen. Falls noch nicht aktiviert, müssen Sie sie konfigurieren.

Um die Verhaltensüberwachung in Microsoft Defender for Endpoint unter macOS bereitzustellen, müssen Sie die Verhaltensüberwachungsrichtlinie mit einer der folgenden Methoden ändern:

• Intune
• JamF oder andere nicht von Microsoft stammende MDM
• Manuell

In den folgenden Abschnitten werden diese Methoden ausführlich beschrieben.

Intune Bereitstellung

1. Kopieren Sie den folgenden XML-Code, um eine PLIST-Datei zu erstellen, und speichern Sie sie als BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Öffnen SieGerätekonfigurationsprofile>.

3. Wählen Sie Profil erstellen und dann Neue Richtlinie aus.

4. Geben Sie dem Profil einen Namen. Ändern Sie Platform=macOS in Profiltyp=Vorlagen , und wählen Sie im Abschnitt Vorlagenname die Option Benutzerdefiniert aus. Wählen Sie Konfigurieren aus.

5. Wechseln Sie zu der plist-Datei, die Sie zuvor gespeichert haben, und speichern Sie sie als com.microsoft.wdav.xml.

6. Geben Sie com.microsoft.wdav als Namen des benutzerdefinierten Konfigurationsprofils an.

7. Öffnen Sie das Konfigurationsprofil, laden Sie die com.microsoft.wdav.xml Datei hoch, und wählen Sie OK aus.

8. Wählen SieZuweisungenverwalten> aus. Wählen Sie auf der Registerkarte Einschließen die Option Zu allen Benutzern & Alle Geräte oder zu einer Gerätegruppe oder Benutzergruppe zuweisen aus.

JamF-Bereitstellung

1. Kopieren Sie den folgenden XML-Code, um eine PLIST-Datei zu erstellen, und speichern Sie sie als Save as BehaviorMonitoring_for_MDE_on_macOS.plist:

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
           <key>features</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
       </dict>
   </plist>
   

2. Wählen Sie unterComputerkonfigurationsprofile>die Option Optionen>Anwendungen & Benutzerdefinierte Einstellungen aus.

3. Wählen Sie Datei hochladen (PLIST-Datei ) aus.

4. Legen Sie die Einstellungsdomäne auf fest com.microsoft.wdav.

5. Laden Sie die zuvor gespeicherte plist-Datei hoch.

Weitere Informationen finden Sie unter Festlegen von Einstellungen für Microsoft Defender for Endpoint unter macOS.

Manuelle Bereitstellung

Sie können die Verhaltensüberwachung unter macOS unter Microsoft Defender for Endpoint aktivieren, indem Sie den folgenden Befehl im Terminal ausführen:

sudo mdatp config behavior-monitoring --value enabled

So deaktivieren Sie Folgendes:

sudo mdatp config behavior-monitoring --value disabled

Weitere Informationen finden Sie unter Ressourcen für Microsoft Defender for Endpoint unter macOS.

Überprüfen, ob die Verhaltensüberwachung aktiviert ist

Um zu überprüfen, ob die Verhaltensüberwachung aktiviert ist, öffnen Sie terminal, kopieren Sie den folgenden Befehl, und führen Sie diesen aus:

mdatp health --details features

Wenn die Verhaltensüberwachung aktiviert ist, zeigt das Ergebnis den Wert von behavior_monitoring als aktiviert an.

So testen Sie die Verhaltensüberwachung (Verhinderung/Blockerkennung)

Weitere Informationen finden Sie unter Demonstration der Verhaltensüberwachung.

Überprüfen von Verhaltensüberwachungserkennungen

Die vorhandene Microsoft Defender for Endpoint unter macOS-Befehlszeilenschnittstelle kann verwendet werden, um Details zur Verhaltensüberwachung und Artefakte zu überprüfen.

sudo mdatp threat list

Häufig gestellte Fragen (FAQ)

Was geschieht, wenn ich eine Zunahme der CPU- oder Arbeitsspeicherauslastung sehe?

Deaktivieren Sie die Verhaltensüberwachung, und überprüfen Sie, ob das Problem behoben ist. Wenn das Problem nicht behoben wird, steht es nicht im Zusammenhang mit der Verhaltensüberwachung.

Wenn das Problem nicht mehr auftritt, aktivieren Sie die Verhaltensüberwachung erneut, und verwenden Sie Verhaltensüberwachungsstatistiken, um Prozesse zu identifizieren und auszuschließen, die übermäßige Ereignisse generieren:

sudo mdatp config behavior-monitoring-statistics --value enabled

Führen Sie das Problem erneut aus, und führen Sie dann Folgendes aus:

sudo mdatp diagnostic behavior-monitoring-statistics --sort

Dieser Befehl listet Prozesse auf, die auf dem Computer ausgeführt werden, die Verhaltensüberwachungsereignisse an den Engine-Prozess melden. Je mehr Ereignisse, desto mehr AUSWIRKUNGEN AUF CPU/Arbeitsspeicher hat dieser Prozess.

Ausschließen identifizierter Prozesse mit:

sudo mdatp exclusion process add --path <path to process with lots of events>

Wichtig

Überprüfen Sie die Zuverlässigkeit der ausgeschlossenen Prozesse. Das Ausschließen dieser Prozesse verhindert, dass alle Ereignisse an die Verhaltensüberwachung gesendet werden und keine Inhaltsüberprüfung durchgeführt wird. EDR empfängt jedoch weiterhin Ereignisse von diesen Prozessen. Es ist wichtig zu beachten, dass diese Entschärfung unwahrscheinlich ist, dass die CPU-Auslastung des - oder wdavdaemon_enterprise -wdavdaemonProzesse reduziert, sich aber auf auswirken wdavdaemon_unprivilegedkann. Wenn die anderen beiden Prozesse ebenfalls eine hohe CPU-Auslastung aufweisen, ist die Verhaltensüberwachung möglicherweise nicht die einzige Ursache, und die Kontaktaufnahme mit dem Microsoft-Support wird empfohlen.

Deaktivieren Sie anschließend die Verhaltensüberwachungsstatistiken:

sudo mdatp config behavior-monitoring-statistics --value disabled

Wenn das Problem weiterhin besteht, insbesondere nach einem Neustart, laden Sie die XMDE-Clientanalyse herunter, und wenden Sie sich dann an den Microsoft-Support.

Netzwerk-Echtzeitüberprüfung für macOS

Wichtig

Einige Informationen beziehen sich auf vorab veröffentlichte Produkte, die vor der kommerziellen Veröffentlichung erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Die Netzwerk-Echtzeitüberprüfung (Network Real-Time Inspection, NRI) für macOS verbessert den Echtzeitschutz (RTP), indem die Verhaltensüberwachung zusammen mit Datei-, Prozess- und anderen Ereignissen verwendet wird, um verdächtige Aktivitäten zu erkennen. Die Verhaltensüberwachung löst sowohl Telemetriedaten als auch Beispielübermittlungen für verdächtige Dateien aus, die Microsoft vom Cloudschutz-Back-End analysieren und an das Clientgerät übermittelt wird, was zu einer Entfernung der Bedrohung führt.

Wirkt sich dies auf die Leistung aus?

NRI sollte nur geringe Auswirkungen auf die Netzwerkleistung haben. Anstatt die Verbindung zu halten und zu blockieren, erstellt NRI eine Kopie des Pakets, während es das Netzwerk durchquert, und NRI führt eine asynchrone Überprüfung durch.

Hinweis

Wenn die Netzwerk-Echtzeitüberprüfung (Network Real-Time Inspection, NRI) für macOS aktiviert ist, kann es zu einer leichten Zunahme der Arbeitsspeicherauslastung kommen.

Anforderungen für NRI für macOS

• Das Gerät muss in Microsoft Defender for Endpoint integriert werden.
• Vorschaufeatures müssen im Microsoft Defender-Portal aktiviert sein.
• Das Gerät muss sich im Beta-Kanal (früher InsiderFast) befinden.
• Die Mindestversionsnummer für Defender für Endpunkt muss Beta (Insiders-Fast): 101.24092.0004 oder höher sein. Die Versionsnummer bezieht sich auf das app version (auch als Plattformupdate bezeichnet).
• Echtzeitschutz muss aktiviert sein.
• Die Verhaltensüberwachung muss aktiviert sein.
• Der von der Cloud bereitgestellte Schutz muss aktiviert sein.
• Das Gerät muss explizit für die Vorschau registriert werden.

Bereitstellungsanweisungen für NRI für macOS

1. Senden Sie uns eine E-Mail an mit NRIonMacOS@microsoft.com Informationen zu Ihrer Microsoft Defender for Endpoint OrgID, wo Sie die Netzwerk-Echtzeitüberprüfung (NETWORK Real-Time Inspection, NRI) für macOS aktivieren möchten.

   Wichtig

   Um NRI für macOS auszuwerten, senden Sie eine E-Mail an NRIonMacOS@microsoft.com. Geben Sie Ihre Organisations-ID für Defender für Endpunkt an. Wir aktivieren dieses Feature pro Anforderung für jeden Mandanten.

2. Aktivieren Sie die Verhaltensüberwachung, wenn sie noch nicht aktiviert ist:

   sudo mdatp config behavior-monitoring --value enabled   
   

3. Aktivieren des Netzwerkschutzes im Blockmodus:

   sudo mdatp config network-protection enforcement-level --value block
   

4. Aktivieren der Netzwerk-Echtzeitüberprüfung (NETWORK Real-Time Inspection, NRI):

   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   

   Hinweis

   Während sich dieses Feature in der Vorschau befindet und die Einstellung über die Befehlszeile festgelegt wird, wird die Netzwerk-Echtzeituntersuchung (NETWORK Real-Time Inspection, NRI) nach Neustarts nicht beibehalten. Sie müssen es erneut aktivieren.