ניטור אופן פעולה באנטי-וירוס של Microsoft Defender ב- macOS
חל על:
- Microsoft Defender עבור XDR
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender for Business
- Microsoft Defender for Individuals
- האנטי-וירוס של Microsoft Defender
- גירסאות נתמכות של macOS
חשוב
חלק מהמידע מתייחס למוצר שפורסם מראש וייתכן שהשתנו באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
דרישות מוקדמות
- המכשיר מחובר ל- Microsoft Defender for Endpoint.
- תכונות Preview זמינות בפורטל Microsoft XDR (https://security.microsoft.com).
- המכשיר חייב להיות בערוץ הביתא (לשעבר InsiderFast).
- מספר הגירסה המינימלי של Microsoft Defender עבור נקודת קצה חייב להיות ביתא (Insiders-Fast): 101.24042.0002 ואילך. מספר גירסה מתייחס למספר app_version ( נקרא גם עדכון פלטפורמה).
- ודא שהגנת Real-Time (RTP) זמינה.
- ודא שההגנה מבוססת הענן מופעלת.
- יש לרשום את המכשיר באופן מפורש לתצוגה המקדימה.
סקירה כללית
ניטור אופן פעולה מנטר את אופן הפעולה של התהליך כדי לזהות ולנתח איומים פוטנציאליים בהתבסס על אופן הפעולה של היישומים, ה- Daemons והקבצים במערכת. מאחר שניטור התנהגותי צופה באופן הפעולה של התוכנה בזמן אמת, היא יכולה להסתגל במהירות לאיומים חדשים ומתפתחים ולחסום אותם.
הוראות פריסה
כדי לפרוס את ניטור אופן הפעולה ב- Microsoft Defender עבור נקודת קצה ב- macOS, עליך לשנות את מדיניות ניטור אופן הפעולה באמצעות אחת מהשיטות הבאות:
הסעיפים הבאים מתארים בפירוט כל אחת משיטות אלה.
פריסת Intune
העתק את ה- XML הבא כדי ליצור קובץ .plist ושמור אותו כקובץ BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>פתח פרופילי>תצורת מכשירים.
בחר צור פרופיל ובחר מדיניות חדשה.
תן שם לפרופיל. שנה את Platform=macOSלסוג פרופיל=תבניות ובחר מותאם אישית במקטע שם התבנית. בחר קבע תצורה.
עבור אל קובץ ה- plist ששמרת קודם לכן ושמור אותו כ-
com.microsoft.wdav.xml.הזן כשם
com.microsoft.wdavפרופיל התצורה המותאם אישית.פתח את פרופיל התצורה והעלה את
com.microsoft.wdav.xmlהקובץ ובחר אישור.בחר נהל>מטלות. בכרטיסיה כלול , בחר הקצה לכל המשתמשים ולאחר & כל המכשירים או לקבוצת מכשירים או לקבוצת משתמשים.
באמצעות פריסת JamF
העתק את ה- XML הבא כדי ליצור קובץ .plist ושמור אותו כקובץ שמירה בשם BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>תחת פרופילי>תצורה של מחשבים, בחר אפשרויות יישומים>& מותאמות אישית,
בחר העלה קובץ (קובץ .plist ).
הגדר תחום העדפה ל - com.microsoft.wdav
העלה את קובץ ה- plist שנשמר קודם לכן.
לקבלת מידע נוסף, ראה: הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS.
פריסה ידנית
באפשרותך להפעיל את ניטור אופן הפעולה ב- Microsoft Defender עבור נקודת קצה ב- macOS על-ידי הפעלת הפקודה הבאה מהמסוף:
sudo mdatp config behavior-monitoring --value enabled
כדי להפוך ללא זמין:
sudo mdatp config behavior-monitoring --value disabled
לקבלת מידע נוסף, ראה: משאבים עבור Microsoft Defender עבור נקודת קצה ב- macOS.
כדי לבדוק זיהוי של ניטור אופן פעולה (מניעה/חסימה)
ראה הדגמה של ניטור אופן פעולה.
מאמת זיהוי של ניטור אופן פעולה
ניתן להשתמש בממשק שורת הפקודה הקיים של Microsoft Defender עבור macOS כדי לסקור פרטי ניטור התנהגות ופריטים חזותיים.
sudo mdatp threat list
שאלות נפוצות (שאלות נפוצות)
מה קורה אם אני רואה עלייה בניצול המעבד או ניצול זיכרון?
הפוך את ניטור אופן הפעולה ללא זמין ובדוק אם הבעיה נעלמת.
- אם הבעיה אינה נעלמת, היא אינה קשורה לניטור אופן הפעולה.
- אם הבעיה נעלמת, פנה aka.ms/xMDEClientAnalyzer התמיכה של Microsoft.