Surveillance du comportement dans Antivirus Microsoft Defender sur macOS

S’applique à :

• Microsoft Defender pour XDR
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour les PME
• Microsoft Defender pour les particuliers
• Antivirus Microsoft Defender
• Versions prises en charge de macOS

Importante

Certaines informations concernent le produit en préversion qui peut être considérablement modifié avant sa commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Configuration requise

• L’appareil est intégré à Microsoft Defender pour point de terminaison.
• Les fonctionnalités en préversion sont activées dans le portail Microsoft XDR (https://security.microsoft.com).
• L’appareil doit se trouver dans le canal bêta (anciennement InsiderFast).
• Le numéro de version minimale de Microsoft Defender pour point de terminaison doit être bêta (Insiders-Fast) : 101.24042.0002 ou version ultérieure. Le numéro de version fait référence au app_version (également appelé mise à jour de la plateforme).
• Vérifiez que Real-Time Protection (RTP) est activé.
• Vérifiez que la protection fournie par le cloud est activée.
• L’appareil doit être inscrit explicitement dans la préversion.

Vue d’ensemble

La surveillance du comportement surveille le comportement des processus pour détecter et analyser les menaces potentielles en fonction du comportement des applications, des démons et des fichiers au sein du système. Comme la surveillance du comportement observe le comportement du logiciel en temps réel, il peut s’adapter rapidement aux menaces nouvelles et évolutives et les bloquer.

Instructions de déploiement

Pour déployer la surveillance du comportement dans Microsoft Defender pour point de terminaison sur macOS, vous devez modifier la stratégie de surveillance du comportement à l’aide de l’une des méthodes suivantes :

• Intune
• JamF ou autre GPM 3^rd party
• Manuellement

Les sections suivantes décrivent chacune de ces méthodes en détail.

Déploiement Intune

1. Copiez le code XML suivant pour créer un fichier .plist et enregistrez-le sous BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Ouvrez Profilsde configurationdes appareils>.

3. Sélectionnez Créer un profil , puis nouvelle stratégie.

4. Donnez un nom au profil. Remplacez Platform=macOS parType de profil=Modèles et choisissez Personnalisé dans la section nom du modèle. Sélectionnez Configurer.

5. Accédez au fichier plist que vous avez enregistré précédemment et enregistrez-le sous com.microsoft.wdav.xml.

6. Entrez com.microsoft.wdav comme nom de profil de configuration personnalisé.

7. Ouvrez le profil de configuration, chargez le com.microsoft.wdav.xml fichier, puis sélectionnez OK.

8. Sélectionnez Gérer les>affectations. Sous l’onglet Inclure , sélectionnez Affecter à tous les utilisateurs & Tous les appareils ou à un groupe d’appareils ou à un groupe d’utilisateurs.

Via le déploiement JamF

1. Copiez le code XML suivant pour créer un fichier .plist et enregistrez-le en tant que Enregistrer sous BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. DansProfils de configurationdes ordinateurs>, sélectionnez Options>Applications & Paramètres personnalisés,

3. Sélectionnez Charger un fichier (fichier .plist ).

4. Définir le domaine de préférence sur com.microsoft.wdav

5. Chargez le fichier plist enregistré précédemment.

Pour plus d’informations, consultez : Définir des préférences pour Microsoft Defender pour point de terminaison sur macOS.

Déploiement manuel

Vous pouvez activer l’analyse du comportement sur Microsoft Defender pour point de terminaison sur macOS en exécutant la commande suivante à partir du terminal :

sudo mdatp config behavior-monitoring --value enabled

Pour désactiver :

sudo mdatp config behavior-monitoring --value disabled

Pour plus d’informations, consultez Ressources pour Microsoft Defender pour point de terminaison sur macOS.

Pour tester la détection de la surveillance du comportement (prévention/blocage)

Consultez Démonstration de l’analyse du comportement.

Vérification de la détection de la surveillance du comportement

L’interface de ligne de commande existante de Microsoft Defender pour point de terminaison sur macOS peut être utilisée pour passer en revue les détails et les artefacts de surveillance du comportement.

sudo mdatp threat list

Questions fréquentes (FAQ)

Que se passe-t-il si je constate une augmentation de l’utilisation du processeur ou de la mémoire ?

Désactivez l’analyse du comportement et vérifiez si le problème disparaît.

• Si le problème ne disparaît pas, il n’est pas lié à l’analyse du comportement.
• Si le problème disparaît, prenez un aka.ms/xMDEClientAnalyzer et contactez le support Microsoft.