Viselkedésfigyelés a Microsoft Defender víruskeresőben macOS rendszeren

Érintett szolgáltatás:

• Microsoft Defender XDR-hez
• Végponthoz készült Microsoft Defender 2. csomag
• Végponthoz készült Microsoft Defender 1. csomag
• Microsoft Defender Vállalati verzió
• Microsoft Defender egyéni felhasználók számára
• Microsoft Defender víruskereső
• A macOS támogatott verziói

Fontos

Egyes információk az előre kiadott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Előfeltételek

• Az eszköz regisztrálva van a Végponthoz készült Microsoft Defenderben.
• Az előzetes verziójú funkciók engedélyezve lesznek a Microsoft XDR portálon (https://security.microsoft.com).
• Az eszköznek a Béta csatornán (korábbi nevén InsiderFast) kell lennie.
• A Végponthoz készült Microsoft Defender minimális verziószámának bétaverziónak (Insiders-Fast) kell lennie: 101.24042.0002 vagy újabb. A verziószám a app_version (más néven platformfrissítés) utal.
• Győződjön meg arról, hogy a Real-Time Protection (RTP) engedélyezve van.
• Győződjön meg arról, hogy a felhőben biztosított védelem engedélyezve van.
• Az eszközt explicit módon regisztrálni kell az előzetes verzióban.

Áttekintés

A viselkedésfigyelés a folyamat viselkedését figyeli a lehetséges fenyegetések észleléséhez és elemzéséhez a rendszeren belüli alkalmazások, démonok és fájlok viselkedése alapján. Ahogy a viselkedésfigyelés megfigyeli, hogyan viselkedik a szoftver valós időben, gyorsan alkalmazkodhat az új és változó fenyegetésekhez, és letilthatja őket.

Üzembe helyezési utasítások

A viselkedésfigyelés a Végponthoz készült Microsoft Defenderben macOS rendszeren való üzembe helyezéséhez módosítania kell a viselkedésfigyelési szabályzatot az alábbi módszerek egyikével:

• Intune
• JamF vagy más 3^{rd party} MDM
• Manuálisan

A következő szakaszok részletesen ismertetik ezeket a módszereket.

Intune üzembe helyezése

1. Másolja a következő XML-fájlt egy .plist fájl létrehozásához, és mentse BehaviorMonitoring_for_MDE_on_macOS.mobileconfig formátumban

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Nyissa meg az Eszközök>konfigurációs profiljait.

3. Válassza a Profil létrehozása , majd az Új szabályzat lehetőséget.

4. Nevezze el a profilt. Módosítsa a Platform=macOS értéket Profiltípus=Sablonok értékre, és válassza az Egyéni lehetőséget a sablon neve szakaszban. Válassza a Konfigurálás lehetőséget.

5. Nyissa meg a korábban mentett plist fájlt, és mentse a fájlként com.microsoft.wdav.xml.

6. Adja meg com.microsoft.wdav az egyéni konfigurációs profil nevét.

7. Nyissa meg a konfigurációs profilt, töltse fel a fájlt, és válassza az com.microsoft.wdav.xmlOK gombot.

8. Válassza aHozzárendelésekkezelése> lehetőséget. A Belefoglalás lapon válassza a Hozzárendelés minden felhasználóhoz & Az összes eszköz, illetve egy Eszközcsoport vagy felhasználói csoport lehetőséget.

A JamF üzembe helyezésével

1. Másolja a következő XML-fájlt egy .plist fájl létrehozásához, és mentse mentésként BehaviorMonitoring_for_MDE_on_macOS.plist fájlként

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. A Számítógépek>konfigurációs profiljai területen válassza a Beállítások>Alkalmazások & Egyéni beállítások lehetőséget,

3. Válassza a Fájl feltöltése (.plist fájl) lehetőséget.

4. Beállítási tartomány beállítása a következőre: com.microsoft.wdav

5. Töltse fel a korábban mentett plist fájlt.

További információ: A végponthoz készült Microsoft Defender beállításainak megadása macOS rendszeren.

Kézi üzembe helyezés

A végponthoz készült Microsoft Defenderben a következő parancs futtatásával engedélyezheti a viselkedésfigyelést macOS rendszeren:

sudo mdatp config behavior-monitoring --value enabled

Letiltás:

sudo mdatp config behavior-monitoring --value disabled

További információ: A Végponthoz készült Microsoft Defender erőforrásai macOS rendszeren.

Viselkedésfigyelés (megelőzés/blokkolás) észlelésének tesztelése

Lásd: Viselkedésfigyelési bemutató.

Viselkedésfigyelés észlelésének ellenőrzése

A macOS-en meglévő Végponthoz készült Microsoft Defender parancssori felülete használható a viselkedésfigyelési részletek és összetevők áttekintéséhez.

sudo mdatp threat list

Gyakori kérdések (GYIK)

Mi a teendő, ha megnövekedett processzor- vagy memóriakihasználtságot tapasztalok?

Tiltsa le a viselkedésfigyelést, és ellenőrizze, hogy a probléma megszűnik-e.

• Ha a probléma nem tűnik el, nem kapcsolódik a viselkedésfigyeléshez.
• Ha a probléma megszűnik, vegyen fel egy aka.ms/xMDEClientAnalyzer, és forduljon a Microsoft ügyfélszolgálatához.