Supervisión del comportamiento en antivirus de Microsoft Defender en macOS

Se aplica a:

• Microsoft Defender para XDR
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para Empresas
• Microsoft Defender para individuos
• Antivirus de Microsoft Defender
• Versiones admitidas de macOS

Importante

Algunas informaciones se refieren al producto publicado previamente, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Requisitos previos

• El dispositivo se incorpora a Microsoft Defender para punto de conexión.
• Las características en versión preliminar están habilitadas en el portal de Microsoft XDR (https://security.microsoft.com).
• El dispositivo debe estar en el canal Beta (anteriormente InsiderFast).
• El número mínimo de versión de Microsoft Defender para punto de conexión debe ser Beta (Insiders-Fast): 101.24042.0002 o posterior. El número de versión hace referencia al app_version (también conocido como actualización de la plataforma).
• Asegúrese de que Real-Time Protection (RTP) esté habilitado.
• Asegúrese de que la protección entregada en la nube está habilitada.
• El dispositivo debe inscribirse explícitamente en la versión preliminar.

Información general

La supervisión del comportamiento supervisa el comportamiento de los procesos para detectar y analizar posibles amenazas en función del comportamiento de las aplicaciones, los demonios y los archivos dentro del sistema. A medida que la supervisión del comportamiento observa cómo se comporta el software en tiempo real, puede adaptarse rápidamente a las amenazas nuevas y en constante evolución y bloquearlas.

Instrucciones de implementación

Para implementar la supervisión del comportamiento en Microsoft Defender para punto de conexión en macOS, debe cambiar la directiva de supervisión de comportamiento mediante uno de los métodos siguientes:

• Intune
• JamF u otro MDM de 3^rd party
• Manualmente

En las secciones siguientes se describe cada uno de estos métodos en detalle.

Implementación de Intune

1. Copie el siguiente XML para crear un archivo .plist y guárdelo como BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Abra Perfilesde configuración de dispositivos>.

3. Seleccione Crear perfil y seleccione Nueva directiva.

4. Asigne un nombre al perfil. Cambie Platform=macOS a Profile type=Templates y elija Personalizado en la sección nombre de plantilla. Seleccione Configurar.

5. Vaya al archivo plist que guardó anteriormente y guárdelo como com.microsoft.wdav.xml.

6. Escriba com.microsoft.wdav como el nombre del perfil de configuración personalizado.

7. Abra el perfil de configuración, cargue el com.microsoft.wdav.xml archivo y seleccione Aceptar.

8. Seleccione Administrar>asignaciones. En la pestaña Incluir , seleccione Asignar a todos los usuarios & Todos los dispositivos o a un grupo de dispositivos o grupo de usuarios.

A través de la implementación de JamF

1. Copie el siguiente XML para crear un archivo .plist y guárdelo como Guardar como BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. EnPerfiles de configuración de equipos>, seleccione Opciones>Aplicaciones & Configuración personalizada,

3. Seleccione Cargar archivo (archivo .plist ).

4. Establecer dominio de preferencia en com.microsoft.wdav

5. Cargue el archivo plist guardado anteriormente.

Para obtener más información, vea: Establecer preferencias para Microsoft Defender para punto de conexión en macOS.

Implementación manual

Para habilitar la supervisión del comportamiento en Microsoft Defender para punto de conexión en macOS, ejecute el siguiente comando desde terminal:

sudo mdatp config behavior-monitoring --value enabled

Para deshabilitar:

sudo mdatp config behavior-monitoring --value disabled

Para obtener más información, consulte Recursos para Microsoft Defender para punto de conexión en macOS.

Para probar la detección de la supervisión del comportamiento (prevención/bloqueo)

Consulte La demostración de supervisión del comportamiento.

Comprobación de la detección de supervisión del comportamiento

La interfaz de línea de comandos existente de Microsoft Defender para punto de conexión en macOS se puede usar para revisar los detalles y artefactos de supervisión del comportamiento.

sudo mdatp threat list

Preguntas más frecuentes (P+F)

¿Qué ocurre si veo un aumento en el uso de cpu o memoria?

Deshabilite la supervisión del comportamiento y compruebe si el problema desaparece.

• Si el problema no desaparece, no está relacionado con la supervisión del comportamiento.
• Si el problema desaparece, tome una aka.ms/xMDEClientAnalyzer y póngase en contacto con el soporte técnico de Microsoft.