Verhaltensüberwachung in Microsoft Defender Antivirus unter macOS
Gilt für:
- Microsoft Defender für XDR
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Unternehmen
- Microsoft Defender for Individuals
- Microsoft Defender Antivirus
- Unterstützte Versionen von macOS
Wichtig
Einige Informationen beziehen sich auf vorab veröffentlichte Produkte, die vor der kommerziellen Veröffentlichung erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Voraussetzungen
- Das Gerät ist in Microsoft Defender für Endpunkt integriert.
- Vorschaufeatures sind im Microsoft XDR-Portal (https://security.microsoft.com) aktiviert.
- Das Gerät muss sich im Beta-Kanal (früher InsiderFast) befinden.
- Die minimale Versionsnummer von Microsoft Defender für Endpunkt muss Beta (Insiders-Fast): 101.24042.0002 oder höher sein. Versionsnummer bezieht sich auf die app_version (auch als Plattformupdate bezeichnet).
- Stellen Sie sicher, dass Real-Time Protection (RTP) aktiviert ist.
- Stellen Sie sicher , dass der von der Cloud bereitgestellte Schutz aktiviert ist.
- Das Gerät muss explizit für die Vorschau registriert werden.
Übersicht
Die Verhaltensüberwachung überwacht das Prozessverhalten, um potenzielle Bedrohungen basierend auf dem Verhalten der Anwendungen, Daemons und Dateien im System zu erkennen und zu analysieren. Da die Verhaltensüberwachung beobachtet, wie sich die Software in Echtzeit verhält, kann sie sich schnell an neue und sich entwickelnde Bedrohungen anpassen und diese blockieren.
Bereitstellungsinformationen
Um die Verhaltensüberwachung in Microsoft Defender für Endpunkt unter macOS bereitzustellen, müssen Sie die Verhaltensüberwachungsrichtlinie mit einer der folgenden Methoden ändern:
In den folgenden Abschnitten werden diese Methoden ausführlich beschrieben.
Intune-Bereitstellung
Kopieren Sie den folgenden XML-Code, um eine PLIST-Datei zu erstellen, und speichern Sie sie als BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>Öffnen SieGerätekonfigurationsprofile>.
Wählen Sie Profil erstellen und dann Neue Richtlinie aus.
Geben Sie dem Profil einen Namen. Ändern Sie Platform=macOS in Profiltyp=Vorlagen , und wählen Sie im Abschnitt Vorlagenname die Option Benutzerdefiniert aus. Wählen Sie Konfigurieren aus.
Wechseln Sie zu der plist-Datei, die Sie zuvor gespeichert haben, und speichern Sie sie als
com.microsoft.wdav.xml.Geben Sie
com.microsoft.wdavals Namen des benutzerdefinierten Konfigurationsprofils ein.Öffnen Sie das Konfigurationsprofil, laden Sie die
com.microsoft.wdav.xmlDatei hoch, und wählen Sie OK aus.Wählen SieZuweisungenverwalten> aus. Wählen Sie auf der Registerkarte Einschließen die Option Zu allen Benutzern & Alle Geräte oder zu einer Gerätegruppe oder Benutzergruppe zuweisen aus.
Über JamF-Bereitstellung
Kopieren Sie den folgenden XML-Code, um eine PLIST-Datei zu erstellen, und speichern Sie sie als Speichern unter BehaviorMonitoring_for_MDE_on_macOS.plist.
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>Wählen Sie unterComputerkonfigurationsprofile>die Option Optionen>Anwendungen & Benutzerdefinierte Einstellungen aus.
Wählen Sie Datei hochladen (PLIST-Datei ) aus.
Einstellungsdomäne auf com.microsoft.wdav festlegen
Laden Sie die zuvor gespeicherte plist-Datei hoch.
Weitere Informationen finden Sie unter Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS.
Manuelle Bereitstellung
Sie können die Verhaltensüberwachung unter macOS unter Microsoft Defender für Endpunkt aktivieren, indem Sie den folgenden Befehl im Terminal ausführen:
sudo mdatp config behavior-monitoring --value enabled
So deaktivieren Sie Folgendes:
sudo mdatp config behavior-monitoring --value disabled
Weitere Informationen finden Sie unter Ressourcen für Microsoft Defender für Endpunkt unter macOS.
So testen Sie die Verhaltensüberwachung (Verhinderung/Blockerkennung)
Weitere Informationen finden Sie unter Demonstration der Verhaltensüberwachung.
Überprüfen der Erkennung der Verhaltensüberwachung
Die vorhandene Befehlszeilenschnittstelle von Microsoft Defender für Endpunkt unter macOS kann verwendet werden, um Details zur Verhaltensüberwachung und Artefakte zu überprüfen.
sudo mdatp threat list
Häufig gestellte Fragen (FAQ)
Was geschieht, wenn ich eine Erhöhung der CPU- oder Arbeitsspeicherauslastung sehe?
Deaktivieren Sie die Verhaltensüberwachung, und überprüfen Sie, ob das Problem behoben ist.
- Wenn das Problem nicht behoben wird, steht es nicht im Zusammenhang mit der Verhaltensüberwachung.
- Wenn das Problem nicht mehr besteht, nehmen Sie eine aka.ms/xMDEClientAnalyzer und wenden Sie sich an den Microsoft-Support.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für