Surveillance du comportement dans Antivirus Microsoft Defender sur macOS
S’applique à :
- Microsoft Defender pour XDR
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour les PME
- Microsoft Defender pour les particuliers
- Antivirus Microsoft Defender
- Versions prises en charge de macOS
Importante
Certaines informations concernent le produit en préversion qui peut être considérablement modifié avant sa commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Configuration requise
- L’appareil est intégré à Microsoft Defender pour point de terminaison.
- Les fonctionnalités en préversion sont activées dans le portail Microsoft XDR (https://security.microsoft.com).
- L’appareil doit se trouver dans le canal bêta (anciennement InsiderFast).
- Le numéro de version minimale de Microsoft Defender pour point de terminaison doit être bêta (Insiders-Fast) : 101.24042.0002 ou version ultérieure. Le numéro de version fait référence au app_version (également appelé mise à jour de la plateforme).
- Vérifiez que Real-Time Protection (RTP) est activé.
- Vérifiez que la protection fournie par le cloud est activée.
- L’appareil doit être inscrit explicitement dans la préversion.
Vue d’ensemble
La surveillance du comportement surveille le comportement des processus pour détecter et analyser les menaces potentielles en fonction du comportement des applications, des démons et des fichiers au sein du système. Comme la surveillance du comportement observe le comportement du logiciel en temps réel, il peut s’adapter rapidement aux menaces nouvelles et évolutives et les bloquer.
Instructions de déploiement
Pour déployer la surveillance du comportement dans Microsoft Defender pour point de terminaison sur macOS, vous devez modifier la stratégie de surveillance du comportement à l’aide de l’une des méthodes suivantes :
Les sections suivantes décrivent chacune de ces méthodes en détail.
Déploiement Intune
Copiez le code XML suivant pour créer un fichier .plist et enregistrez-le sous BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>Ouvrez Profilsde configurationdes appareils>.
Sélectionnez Créer un profil , puis nouvelle stratégie.
Donnez un nom au profil. Remplacez Platform=macOS parType de profil=Modèles et choisissez Personnalisé dans la section nom du modèle. Sélectionnez Configurer.
Accédez au fichier plist que vous avez enregistré précédemment et enregistrez-le sous
com.microsoft.wdav.xml.Entrez
com.microsoft.wdavcomme nom de profil de configuration personnalisé.Ouvrez le profil de configuration, chargez le
com.microsoft.wdav.xmlfichier, puis sélectionnez OK.Sélectionnez Gérer les>affectations. Sous l’onglet Inclure , sélectionnez Affecter à tous les utilisateurs & Tous les appareils ou à un groupe d’appareils ou à un groupe d’utilisateurs.
Via le déploiement JamF
Copiez le code XML suivant pour créer un fichier .plist et enregistrez-le en tant que Enregistrer sous BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>DansProfils de configurationdes ordinateurs>, sélectionnez Options>Applications & Paramètres personnalisés,
Sélectionnez Charger un fichier (fichier .plist ).
Définir le domaine de préférence sur com.microsoft.wdav
Chargez le fichier plist enregistré précédemment.
Pour plus d’informations, consultez : Définir des préférences pour Microsoft Defender pour point de terminaison sur macOS.
Déploiement manuel
Vous pouvez activer l’analyse du comportement sur Microsoft Defender pour point de terminaison sur macOS en exécutant la commande suivante à partir du terminal :
sudo mdatp config behavior-monitoring --value enabled
Pour désactiver :
sudo mdatp config behavior-monitoring --value disabled
Pour plus d’informations, consultez Ressources pour Microsoft Defender pour point de terminaison sur macOS.
Pour tester la détection de la surveillance du comportement (prévention/blocage)
Consultez Démonstration de l’analyse du comportement.
Vérification de la détection de la surveillance du comportement
L’interface de ligne de commande existante de Microsoft Defender pour point de terminaison sur macOS peut être utilisée pour passer en revue les détails et les artefacts de surveillance du comportement.
sudo mdatp threat list
Questions fréquentes (FAQ)
Que se passe-t-il si je constate une augmentation de l’utilisation du processeur ou de la mémoire ?
Désactivez l’analyse du comportement et vérifiez si le problème disparaît.
- Si le problème ne disparaît pas, il n’est pas lié à l’analyse du comportement.
- Si le problème disparaît, prenez un aka.ms/xMDEClientAnalyzer et contactez le support Microsoft.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour