Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
- Microsoft Defender para XDR
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para Empresas
- Microsoft Defender para individuos
- Antivirus de Microsoft Defender
- Versiones admitidas de macOS
Introducción a la supervisión del comportamiento
La supervisión del comportamiento supervisa el comportamiento de los procesos para detectar y analizar posibles amenazas en función del comportamiento de las aplicaciones, los demonios y los archivos dentro del sistema. A medida que la supervisión del comportamiento observa cómo se comporta el software en tiempo real, puede adaptarse rápidamente a las amenazas nuevas y en constante evolución y bloquearlas.
Requisitos previos
- El dispositivo debe incorporarse a Microsoft Defender para punto de conexión.
- Para obtener la mejor experiencia, Microsoft Defender deben estar actualizados con la versión más reciente.
- El número de versión de Microsoft Defender para punto de conexión mínimo debe ser 101.25032.0006 o posterior. El número de versión hace referencia a
app_version(también conocido como actualización de plataforma). - La protección en tiempo real (RTP) debe estar habilitada.
- La protección entregada en la nube debe estar habilitada.
Instrucciones de implementación para la supervisión del comportamiento
La supervisión del comportamiento pronto estará activada de forma predeterminada. Puede confirmar el estado de inscripción del dispositivo comprobando la salida de las características de mantenimiento de mdatp --details en el terminal. Si aún no está habilitado, debe configurarlo.
Para implementar la supervisión del comportamiento en Microsoft Defender para punto de conexión en macOS, debe cambiar la directiva de supervisión de comportamiento mediante uno de los métodos siguientes:
En las secciones siguientes se describe cada uno de estos métodos en detalle.
Implementación de Intune
Copie el siguiente XML para crear un archivo .plist y guárdelo como
BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> </dict> </array> </dict> </plist>Abra Perfilesde configuración de dispositivos>.
Seleccione Crear perfil y seleccione Nueva directiva.
Asigne un nombre al perfil. Cambie Platform=macOS a Profile type=Templates y elija Personalizado en la sección nombre de plantilla. Seleccione Configurar.
Vaya al archivo plist que guardó anteriormente y guárdelo como
com.microsoft.wdav.xml.Especifique
com.microsoft.wdavcomo el nombre del perfil de configuración personalizado.Abra el perfil de configuración, cargue el
com.microsoft.wdav.xmlarchivo y seleccione Aceptar.Seleccione Administrar>asignaciones. En la pestaña Incluir , seleccione Asignar a todos los usuarios & Todos los dispositivos o a un grupo de dispositivos o grupo de usuarios.
Implementación de JamF
Copie el siguiente XML para crear un archivo .plist y guárdelo como
Save as BehaviorMonitoring_for_MDE_on_macOS.plist:<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> </dict> </plist>EnPerfiles de configuración de equipos>, seleccione Opciones>Aplicaciones & Configuración personalizada,
Seleccione Cargar archivo (archivo .plist ).
Establezca dominio de preferencia en
com.microsoft.wdav.Cargue el archivo plist guardado anteriormente.
Para obtener más información, vea: Establecer preferencias para Microsoft Defender para punto de conexión en macOS.
Implementación manual
Puede habilitar la supervisión del comportamiento en Microsoft Defender para punto de conexión en macOS ejecutando el siguiente comando desde terminal:
sudo mdatp config behavior-monitoring --value enabled
Para deshabilitar:
sudo mdatp config behavior-monitoring --value disabled
Para obtener más información, consulte Recursos para Microsoft Defender para punto de conexión en macOS.
Comprobar que la supervisión del comportamiento está habilitada
Para comprobar que la supervisión del comportamiento está habilitada, abra Terminal, copie y ejecute el siguiente comando:
mdatp health --details features
Cuando se habilita la supervisión del comportamiento, el resultado muestra el valor de behavior_monitoring como habilitado.
Para probar la detección de la supervisión del comportamiento (prevención/bloqueo)
Consulte La demostración de supervisión del comportamiento.
Comprobación de detecciones de supervisión de comportamientos
Los Microsoft Defender para punto de conexión existentes en la interfaz de la línea de comandos de macOS se pueden usar para revisar los detalles y artefactos de supervisión del comportamiento.
sudo mdatp threat list
Preguntas más frecuentes (P+F)
¿Qué ocurre si veo un aumento en el uso de CPU o la utilización de memoria?
Deshabilite la supervisión del comportamiento y vea si el problema desaparece. Si el problema no desaparece, no está relacionado con la supervisión del comportamiento.
Si el problema desaparece, vuelva a habilitar la supervisión del comportamiento y use estadísticas de supervisión de comportamientos para identificar y excluir procesos que generan eventos excesivos:
sudo mdatp config behavior-monitoring-statistics --value enabled
Reproducha el problema y, a continuación, ejecuta:
sudo mdatp diagnostic behavior-monitoring-statistics --sort
Este comando enumera los procesos que se ejecutan en la máquina que notifican eventos de supervisión de comportamiento al proceso del motor. Cuantos más eventos, más impacto en la CPU/memoria tiene ese proceso.
Excluir procesos identificados mediante:
sudo mdatp exclusion process add --path <path to process with lots of events>
Importante
Compruebe la confiabilidad de los procesos que se excluyen. La exclusión de estos procesos impedirá que todos los eventos se envíen a la supervisión del comportamiento y que se realicen análisis de contenido. Sin embargo, EDR seguirá recibiendo eventos de estos procesos. Es importante tener en cuenta que es poco probable que esta mitigación reduzca el uso de CPU de los wdavdaemon procesos o wdavdaemon_enterprise , pero puede afectar a wdavdaemon_unprivileged. Si los otros dos procesos también experimentan un uso elevado de la CPU, es posible que la supervisión del comportamiento no sea la única causa y se recomienda ponerse en contacto con el soporte técnico de Microsoft.
Una vez hecho esto, deshabilite las estadísticas de supervisión de comportamiento:
sudo mdatp config behavior-monitoring-statistics --value disabled
Si el problema persiste, especialmente después de un reinicio, descargue el Analizador de cliente XMDE y, a continuación, póngase en contacto con el soporte técnico de Microsoft.
Inspección en tiempo real de red para macOS
Importante
Algunas informaciones se refieren al producto publicado previamente, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
La característica de inspección en tiempo real (NRI) de red para macOS mejora la protección en tiempo real (RTP) mediante la supervisión del comportamiento en conjunto con archivos, procesos y otros eventos para detectar actividades sospechosas. La supervisión del comportamiento desencadena envíos de ejemplo y telemetría en archivos sospechosos para que Microsoft analice desde el back-end de protección en la nube y se entrega al dispositivo cliente, lo que da lugar a la eliminación de la amenaza.
¿Hay un impacto en el rendimiento?
El NRI debe tener un impacto bajo en el rendimiento de la red. En lugar de mantener la conexión y el bloqueo, NRI realiza una copia del paquete mientras cruza la red y NRI realiza una inspección asincrónica.
Nota:
Cuando la inspección en tiempo real de red (NRI) para macOS está habilitada, es posible que vea un ligero aumento en el uso de memoria.
Requisitos de NRI para macOS
- El dispositivo debe incorporarse a Microsoft Defender para punto de conexión.
- Las características de versión preliminar deben estar activadas en el portal de Microsoft Defender.
- El dispositivo debe estar en el canal Beta (anteriormente
InsiderFast). - El número de versión mínimo de Defender para punto de conexión debe ser Beta (Insiders-Fast): 101.24092.0004 o posterior. El número de versión hace referencia a
app version(también conocido como actualización de plataforma). - La protección en tiempo real debe estar habilitada.
- La supervisión del comportamiento debe estar habilitada.
- La protección entregada en la nube debe estar habilitada.
- El dispositivo debe inscribirse explícitamente en la versión preliminar.
Instrucciones de implementación de NRI para macOS
Envíenos un correo electrónico a
NRIonMacOS@microsoft.comcon información sobre su orgID de Microsoft Defender para punto de conexión donde desea tener habilitada la inspección en tiempo real (NRI) de red para macOS.Importante
Para evaluar NRI para macOS, envíe un correo electrónico a
NRIonMacOS@microsoft.com. Incluya el identificador de la organización de Defender para punto de conexión. Vamos a habilitar esta característica por solicitud para cada inquilino.Habilite la supervisión del comportamiento si aún no está habilitada:
sudo mdatp config behavior-monitoring --value enabledHabilitar la protección de red en modo de bloque:
sudo mdatp config network-protection enforcement-level --value blockHabilitación de la inspección en tiempo real de red (NRI):
sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"Nota:
Mientras esta característica está en versión preliminar y como la configuración se establece mediante la línea de comandos, la inspección en tiempo real (NRI) de red no persiste después de los reinicios. Debe volver a habilitarlo.