Establecer las preferencias para Microsoft Defender para punto de conexión en macOS
Se aplica a:
- Microsoft Defender para punto de conexión en macOS
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
Importante
Este artículo contiene instrucciones sobre cómo establecer preferencias para Microsoft Defender para punto de conexión en macOS en organizaciones empresariales. Para configurar Microsoft Defender para punto de conexión en macOS mediante la interfaz de línea de comandos, consulte Recursos.
Resumen
En las organizaciones empresariales, Microsoft Defender para punto de conexión en macOS se puede administrar a través de un perfil de configuración que se implementa mediante una de varias herramientas de administración. Las preferencias administradas por el equipo de operaciones de seguridad tienen prioridad sobre las preferencias que se establecen localmente en el dispositivo. Cambiar las preferencias que se establecen a través del perfil de configuración requiere privilegios escalados y no está disponible para los usuarios sin permisos administrativos.
En este artículo se describe la estructura del perfil de configuración, se incluye un perfil recomendado que puede usar para empezar a trabajar y se proporcionan instrucciones sobre cómo implementar el perfil.
Estructura del perfil de configuración
El perfil de configuración es un archivo .plist que consta de entradas identificadas por una clave (que denota el nombre de la preferencia), seguidas de un valor, que depende de la naturaleza de la preferencia. Los valores pueden ser simples (como un valor numérico) o complejos, como una lista anidada de preferencias.
Precaución
El diseño del perfil de configuración depende de la consola de administración que esté usando. Las secciones siguientes contienen ejemplos de perfiles de configuración para JAMF e Intune.
El nivel superior del perfil de configuración incluye las preferencias de todo el producto y las entradas para subáreas de Microsoft Defender para punto de conexión, que se explican con más detalle en las secciones siguientes.
Preferencias del motor antivirus
La sección antivirusEngine del perfil de configuración se usa para administrar las preferencias del componente antivirus de Microsoft Defender para punto de conexión.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | antivirusEngine |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Nivel de cumplimiento para el motor antivirus
Especifica la preferencia de cumplimiento del motor antivirus. Hay tres valores para establecer el nivel de cumplimiento:
- En tiempo real (
real_time): la protección en tiempo real (examinar archivos a medida que se accede a ellos) está habilitada. - A petición (
on_demand): los archivos se examinan solo a petición. En esto:- La protección en tiempo real está desactivada.
- Pasivo (
passive): ejecuta el motor antivirus en modo pasivo. En esto:- La protección en tiempo real está desactivada.
- El examen a petición está activado.
- La corrección automática de amenazas está desactivada.
- Las actualizaciones de inteligencia de seguridad están activadas.
- El icono del menú Estado está oculto.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | enforcementLevel |
| Tipo de datos | Cadena |
| Posibles valores | real_time (valor predeterminado) on_demand Pasiva |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 101.10.72 o posterior. |
Configuración de la característica de cálculo de hash de archivos
Habilita o deshabilita la característica de cálculo hash de archivos. Cuando esta característica está habilitada, Defender para punto de conexión calcula los hashes de los archivos que examina para habilitar una mejor coincidencia con las reglas de indicador. En macOS, solo se tienen en cuenta el script y los archivos Mach-O (32 y 64 bits) para este cálculo hash (a partir de la versión 1.1.20000.2 del motor o posterior). Tenga en cuenta que la habilitación de esta característica podría afectar al rendimiento del dispositivo. Para obtener más información, consulte: Crear indicadores para archivos.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | enableFileHashComputation |
| Tipo de datos | Booleano |
| Posibles valores | false (predeterminado) true |
| Comentarios | Disponible en Defender para punto de conexión, versión 101.86.81 o posterior. |
Ejecución de un examen después de actualizar las definiciones
Especifica si se debe iniciar un examen del proceso después de que se descarguen nuevas actualizaciones de inteligencia de seguridad en el dispositivo. Al habilitar esta configuración, se desencadena un examen antivirus en los procesos en ejecución del dispositivo.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | scanAfterDefinitionUpdate |
| Tipo de datos | Booleano |
| Posibles valores | true (valor predeterminado) false |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 101.41.10 o posterior. |
Examinar archivos (solo exámenes antivirus a petición)
Especifica si se deben examinar los archivos durante los exámenes antivirus a petición.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | scanArchives |
| Tipo de datos | Booleano |
| Posibles valores | true (valor predeterminado) false |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 101.41.10 o posterior. |
Grado de paralelismo para los exámenes a petición
Especifica el grado de paralelismo para los exámenes a petición. Esto corresponde al número de subprocesos utilizados para realizar el examen y afecta al uso de la CPU, así como a la duración del examen a petición.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | maximumOnDemandScanThreads |
| Tipo de datos | Entero |
| Posibles valores | 2 (valor predeterminado). Los valores permitidos son enteros entre 1 y 64. |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 101.41.10 o posterior. |
Directiva de combinación de exclusión
Especifique la directiva de combinación para las exclusiones. Puede ser una combinación de exclusiones definidas por el administrador y definidas por el usuario (merge) o solo exclusiones definidas por el administrador (admin_only). Esta configuración se puede usar para impedir que los usuarios locales definan sus propias exclusiones.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | exclusionesMergePolicy |
| Tipo de datos | Cadena |
| Posibles valores | merge (valor predeterminado) admin_only |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 100.83.73 o posterior. |
Exclusiones de análisis
Especifique las entidades excluidas del análisis. Las exclusiones se pueden especificar mediante rutas de acceso completas, extensiones o nombres de archivo. (Las exclusiones se especifican como una matriz de elementos, el administrador puede especificar tantos elementos como sea necesario, en cualquier orden).
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | Exclusiones |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Tipo de exclusión
Especifique el contenido excluido del análisis por tipo.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | $type |
| Tipo de datos | Cadena |
| Posibles valores | excludedPath excludedFileExtension excludedFileName |
Ruta de acceso al contenido excluido
Especifique el contenido excluido del examen por la ruta de acceso completa del archivo.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | ruta de acceso |
| Tipo de datos | Cadena |
| Posibles valores | rutas de acceso válidas |
| Comentarios | Aplicable solo si $type está excluidoPath |
Tipos de exclusión admitidos
En la tabla siguiente se muestran los tipos de exclusión admitidos por Defender para punto de conexión en Mac.
| Exclusión | Definición | Ejemplos |
|---|---|---|
| Extensión de archivo | Todos los archivos con la extensión, en cualquier lugar del dispositivo | .test |
| Archivo | Un archivo específico identificado por la ruta de acceso completa | /var/log/test.log |
| Folder | Todos los archivos de la carpeta especificada (de forma recursiva) | /var/log/ |
| Proceso | Un proceso específico (especificado por la ruta de acceso completa o el nombre de archivo) y todos los archivos abiertos por él | /bin/cat |
Importante
Las rutas de acceso anteriores deben ser vínculos duros, no vínculos simbólicos, para que se excluyan correctamente. Puede comprobar si una ruta de acceso es un vínculo simbólico mediante la ejecución de file <path-name>.
Las exclusiones de archivos, carpetas y procesos admiten los siguientes caracteres comodín:
| Carácter comodín | Description | Ejemplo | Coincidencias | No coincide |
|---|---|---|---|---|
| * | Coincide con cualquier número de caracteres, incluido ninguno (tenga en cuenta que cuando se usa este carácter comodín dentro de una ruta de acceso, solo sustituirá una carpeta). | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Coincide con cualquier carácter único | file?.log |
file1.log |
file123.log |
Tipo de ruta de acceso (archivo o directorio)
Indique si la propiedad path hace referencia a un archivo o directorio.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | isDirectory |
| Tipo de datos | Booleano |
| Posibles valores | false (predeterminado) true |
| Comentarios | Aplicable solo si $type está excluidoPath |
Extensión de archivo excluida del examen
Especifique el contenido excluido del análisis por extensión de archivo.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | Extensión |
| Tipo de datos | Cadena |
| Posibles valores | extensiones de archivo válidas |
| Comentarios | Solo se aplica si $type es excludedFileExtension |
Proceso excluido del examen
Especifique un proceso para el que se excluya toda la actividad de archivo del examen. El proceso se puede especificar por su nombre (por ejemplo, cat) o por la ruta de acceso completa (por ejemplo, /bin/cat).
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | name |
| Tipo de datos | Cadena |
| Posibles valores | cualquier cadena |
| Comentarios | Aplicable solo si $type es excludedFileName |
Amenazas permitidas
Especifique amenazas por nombre que Defender para punto de conexión no bloquee en Mac. Estas amenazas podrán ejecutarse.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | allowedThreats |
| Tipo de datos | Matriz de cadenas |
Acciones de amenazas no permitidas
Restringe las acciones que el usuario local de un dispositivo puede realizar cuando se detectan amenazas. Las acciones incluidas en esta lista no se muestran en la interfaz de usuario.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | disallowedThreatActions |
| Tipo de datos | Matriz de cadenas |
| Posibles valores | allow (impide que los usuarios permitan amenazas) restore (restringe a los usuarios la restauración de amenazas desde la cuarentena) |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 100.83.73 o posterior. |
Configuración del tipo de amenaza
Especifique cómo se controlan determinados tipos de amenazas Microsoft Defender para punto de conexión en macOS.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | threatTypeSettings |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Tipo de amenaza
Especifique los tipos de amenaza.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | clave |
| Tipo de datos | Cadena |
| Posibles valores | potentially_unwanted_application archive_bomb |
Acción que puede realizar
Especifique qué acción realizar cuando se detecte una amenaza del tipo especificado en la sección anterior. Seleccione una de las opciones siguientes:
- Auditoría: el dispositivo no está protegido contra este tipo de amenaza, pero se registra una entrada sobre la amenaza.
- Bloquear: el dispositivo está protegido contra este tipo de amenaza y se le notificará en la interfaz de usuario y en la consola de seguridad.
- Desactivado: el dispositivo no está protegido contra este tipo de amenaza y no se registra nada.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | valor |
| Tipo de datos | Cadena |
| Posibles valores | audit (valor predeterminado) Bloquear desactivado |
Directiva de combinación de configuración de tipos de amenazas
Especifique la directiva de combinación para la configuración del tipo de amenaza. Puede ser una combinación de opciones definidas por el administrador y definidas por el usuario (merge) o solo una configuración definida por el administrador (admin_only). Esta configuración se puede usar para impedir que los usuarios locales definan su propia configuración para distintos tipos de amenazas.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | threatTypeSettingsMergePolicy |
| Tipo de datos | Cadena |
| Posibles valores | merge (valor predeterminado) admin_only |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 100.83.73 o posterior. |
Retención del historial de exámenes antivirus (en días)
Especifique el número de días que los resultados se conservan en el historial de exámenes del dispositivo. Los resultados del examen antiguos se quitan del historial. Archivos en cuarentena antiguos que también se quitan del disco.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | scanResultsRetentionDays |
| Tipo de datos | Cadena |
| Posibles valores | 90 (valor predeterminado). Los valores permitidos van de 1 día a 180 días. |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 101.07.23 o posterior. |
Número máximo de elementos en el historial de examen del antivirus
Especifique el número máximo de entradas que se conservarán en el historial de exámenes. Las entradas incluyen todos los exámenes a petición realizados en el pasado y todas las detecciones antivirus.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | scanHistoryMaximumItems |
| Tipo de datos | Cadena |
| Posibles valores | 10000 (valor predeterminado). Los valores permitidos van de 5000 elementos a 15000 elementos. |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 101.07.23 o posterior. |
Preferencias de protección entregadas en la nube
Configure las características de protección controlada por la nube de Microsoft Defender para punto de conexión en macOS.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | cloudService |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Habilitación o deshabilitación de la protección entregada en la nube
Especifique si se va a habilitar la protección entregada en la nube del dispositivo o no. Para mejorar la seguridad de los servicios, se recomienda mantener activada esta característica.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | habilitado |
| Tipo de datos | Booleano |
| Posibles valores | true (valor predeterminado) false |
Nivel de recopilación de diagnóstico
Los datos de diagnóstico se usan para mantener Microsoft Defender para punto de conexión seguros y actualizados, detectar, diagnosticar y corregir problemas, y también realizar mejoras en el producto. Esta configuración determina el nivel de diagnóstico enviado por Microsoft Defender para punto de conexión a Microsoft.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | diagnosticLevel |
| Tipo de datos | Cadena |
| Posibles valores | opcional (valor predeterminado) necesario |
Configuración del nivel de bloque en la nube
Esta configuración determina el grado de agresividad de Defender para punto de conexión al bloquear y examinar archivos sospechosos. Si esta configuración está activada, Defender para punto de conexión será más agresivo al identificar archivos sospechosos que bloquear y examinar; De lo contrario, será menos agresivo y, por lo tanto, bloqueará y examinará con menos frecuencia. Hay cinco valores para establecer el nivel de bloque en la nube:
- Normal (
normal): el nivel de bloqueo predeterminado. - Moderado (
moderate): solo proporciona veredicto para las detecciones de alta confianza. - Alto (
high): bloquea agresivamente los archivos desconocidos al tiempo que optimiza el rendimiento (mayor posibilidad de bloquear archivos no dañinos). - High Plus (
high_plus): bloquea agresivamente los archivos desconocidos y aplica medidas de protección adicionales (podrían afectar al rendimiento del dispositivo cliente). - Tolerancia cero (
zero_tolerance): bloquea todos los programas desconocidos.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | cloudBlockLevel |
| Tipo de datos | Cadena |
| Posibles valores | normal (valor predeterminado) Moderado Alto high_plus zero_tolerance |
| Comentarios | Disponible en Defender para punto de conexión, versión 101.56.62 o posterior. |
Habilitar o deshabilitar envíos de ejemplo automáticos
Determina si se envían muestras sospechosas (que probablemente contengan amenazas) a Microsoft. Se le pedirá si es probable que el archivo enviado contenga información personal.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | automaticSampleSubmission |
| Tipo de datos | Booleano |
| Posibles valores | true (valor predeterminado) false |
Habilitación o deshabilitación de actualizaciones automáticas de inteligencia de seguridad
Determina si las actualizaciones de inteligencia de seguridad se instalan automáticamente:
| Sección | Valor |
|---|---|
| Clave | automaticDefinitionUpdateEnabled |
| Tipo de datos | Booleano |
| Posibles valores | true (valor predeterminado) false |
Preferencias de la interfaz de usuario
Administre las preferencias de la interfaz de usuario de Microsoft Defender para punto de conexión en macOS.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | userInterface |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Icono del menú Mostrar u ocultar estado
Especifique si desea mostrar u ocultar el icono del menú de estado en la esquina superior derecha de la pantalla.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | hideStatusMenuIcon |
| Tipo de datos | Booleano |
| Posibles valores | false (predeterminado) true |
Opción Mostrar u ocultar para enviar comentarios
Especifique si los usuarios pueden enviar comentarios a Microsoft si van a Help>Send Feedback.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | userInitiatedFeedback |
| Tipo de datos | Cadena |
| Posibles valores | enabled (valor predeterminado) deshabilitado |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 101.19.61 o posterior. |
Controlar el inicio de sesión en la versión de consumidor de Microsoft Defender
Especifique si los usuarios pueden iniciar sesión en la versión de consumidor de Microsoft Defender.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | consumerExperience |
| Tipo de datos | Cadena |
| Posibles valores | enabled (valor predeterminado) deshabilitado |
| Comentarios | Disponible en Microsoft Defender para punto de conexión versión 101.60.18 o posterior. |
Preferencias de respuesta y detección de puntos de conexión
Administre las preferencias del componente de detección y respuesta de puntos de conexión (EDR) de Microsoft Defender para punto de conexión en macOS.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | Edr |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Etiquetas de dispositivo
Especifique un nombre de etiqueta y su valor.
- La etiqueta GROUP marca el dispositivo con el valor especificado. La etiqueta se refleja en el portal en la página del dispositivo y se puede usar para filtrar y agrupar dispositivos.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | tags |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Tipo de etiqueta
Especifica el tipo de etiqueta
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | clave |
| Tipo de datos | Cadena |
| Posibles valores | GROUP |
Valor de la etiqueta
Especifica el valor de tag
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | valor |
| Tipo de datos | Cadena |
| Posibles valores | cualquier cadena |
Importante
- Solo se puede establecer un valor por tipo de etiqueta.
- El tipo de etiquetas es único y no debe repetirse en el mismo perfil de configuración.
Identificador de grupo
Identificadores de grupo de EDR
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | groupIds |
| Tipo de datos | Cadena |
| Comentarios | Identificador de grupo |
Protección contra alteraciones
Administre las preferencias del componente Tamper Protection de Microsoft Defender para punto de conexión en macOS.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | tamperProtection |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Nivel de cumplimiento
Si la protección contra alteraciones está habilitada y si está en modo estricto
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | enforcementLevel |
| Tipo de datos | Cadena |
| Comentarios | Uno de los elementos "disabled", "audit" o "block" |
Posibles valores:
- deshabilitado: la protección contra alteraciones está desactivada, no hay prevención de ataques ni informes a la nube
- auditoría: Protección contra alteraciones informa de intentos de manipulación solo en la nube, pero no los bloquea
- block: Protección contra alteraciones bloquea e informa de ataques a la nube
Exclusiones
Define los procesos que se permiten modificar el recurso de Microsoft Defender, sin considerar la manipulación. Se debe proporcionar la ruta de acceso, teamId, signingId o su combinación. Además, se pueden proporcionar args para especificar el proceso permitido de forma más precisa.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | Exclusiones |
| Tipo de datos | Diccionario (preferencia anidada) |
| Comentarios | Consulte las secciones siguientes para obtener una descripción del contenido del diccionario. |
Ruta de acceso
Ruta de acceso exacta del archivo ejecutable del proceso.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | ruta de acceso |
| Tipo de datos | Cadena |
| Comentarios | En el caso de un script de shell, será la ruta de acceso exacta al binario del intérprete, por ejemplo, /bin/zsh. No se permiten caracteres comodín. |
Id. de equipo
"Id. de equipo" de Apple del proveedor.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | teamId |
| Tipo de datos | Cadena |
| Comentarios | Por ejemplo, UBF8T346G9 para Microsoft |
Id. de firma
"Id. de firma" de Apple del paquete.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | signingId |
| Tipo de datos | Cadena |
| Comentarios | Por ejemplo, com.apple.ruby para el intérprete de Ruby |
Procesar argumentos
Se usa en combinación con otros parámetros para identificar el proceso.
| Sección | Valor |
|---|---|
| Dominio | com.microsoft.wdav |
| Clave | signingId |
| Tipo de datos | Matriz de cadenas |
| Comentarios | Si se especifica, el argumento process debe coincidir exactamente con esos argumentos, distinguen mayúsculas de minúsculas |
Perfil de configuración recomendado
Para empezar, se recomienda la siguiente configuración para que su empresa aproveche todas las características de protección que Microsoft Defender para punto de conexión proporciona.
El siguiente perfil de configuración (o, en el caso de JAMF, una lista de propiedades que se podría cargar en el perfil de configuración de configuración personalizada):
- Habilitación de la protección en tiempo real (RTP)
- Especifique cómo se controlan los siguientes tipos de amenazas:
- Las aplicaciones potencialmente no deseadas (PUA) están bloqueadas
- Las bombas de archivo (archivo con una alta tasa de compresión) se auditan para Microsoft Defender para punto de conexión registros
- Habilitación de actualizaciones automáticas de inteligencia de seguridad
- Habilitar la protección proporcionada en la nube
- Habilitación del envío automático de ejemplos
Lista de propiedades para el perfil de configuración recomendado de JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Perfil recomendado de Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Ejemplo de perfil de configuración completa
Las plantillas siguientes contienen entradas para todas las configuraciones descritas en este documento y se pueden usar para escenarios más avanzados en los que quiera tener más control sobre Microsoft Defender para punto de conexión en macOS.
Lista de propiedades para el perfil de configuración completo de JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Perfil completo de Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Validación de la lista de propiedades
La lista de propiedades debe ser un archivo .plist válido. Esto se puede comprobar mediante la ejecución de:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Si el archivo tiene un formato correcto, el comando anterior genera OK y devuelve un código de salida de 0. De lo contrario, se muestra un error que describe el problema y el comando devuelve un código de salida de 1.
Implementación del perfil de configuración
Una vez que haya creado el perfil de configuración para su empresa, puede implementarlo a través de la consola de administración que usa la empresa. En las secciones siguientes se proporcionan instrucciones sobre cómo implementar este perfil mediante JAMF e Intune.
Implementación de JAMF
En la consola de JAMF, abraPerfiles de configuración de equipos>, vaya al perfil de configuración que desea usar y, a continuación, seleccione Configuración personalizada. Cree una entrada con com.microsoft.wdav como dominio de preferencia y cargue el archivo .plist generado anteriormente.
Precaución
Debe especificar el dominio de preferencias correcto (com.microsoft.wdav); de lo contrario, las preferencias no serán reconocidas por Microsoft Defender para punto de conexión.
Implementación de Intune
Abra Perfilesde configuración de dispositivos>. Seleccione Crear perfil.
Elija un nombre para el perfil. Cambie Platform=macOS a Profile type=Templates y elija Personalizado en la sección nombre de plantilla. Seleccione Configurar.
Guarde el archivo .plist generado anteriormente como
com.microsoft.wdav.xml.Escriba
com.microsoft.wdavcomo el nombre del perfil de configuración personalizado.Abra el perfil de configuración y cargue el
com.microsoft.wdav.xmlarchivo. (Este archivo se creó en el paso 3).Seleccione Aceptar.
Seleccione Administrar>asignaciones. En la pestaña Incluir , seleccione Asignar a todos los usuarios & Todos los dispositivos.
Precaución
Debe escribir el nombre del perfil de configuración personalizado correcto; de lo contrario, estas preferencias no serán reconocidas por Microsoft Defender para punto de conexión.
Recursos
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024, se eliminarán los problemas de GitHub como mecanismo de comentarios para el contenido y se reemplazará por un nuevo sistema de comentarios. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de