Monitoraggio del comportamento in Microsoft Defender Antivirus in macOS

Si applica a:

• Microsoft Defender per XDR
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender per endpoint Piano 1
• Microsoft Defender for Business
• Microsoft Defender per utenti singoli
• Antivirus Microsoft Defender
• Versioni supportate di macOS

Importante

Alcune informazioni si riferiscono al prodotto pre-rilasciato che può essere modificato in modo sostanziale prima del rilascio commerciale. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Prerequisiti

• Viene eseguito l'onboarding del dispositivo in Microsoft Defender per endpoint.
• Le funzionalità di anteprima sono abilitate nel portale di Microsoft XDR (https://security.microsoft.com).
• Il dispositivo deve trovarsi nel canale Beta (in precedenza InsiderFast).
• Il numero minimo di versione di Microsoft Defender per endpoint deve essere Beta (Insiders-Fast): 101.24042.0002 o versione successiva. Il numero di versione fa riferimento al app_version (noto anche come aggiornamento della piattaforma).
• Assicurarsi che Real-Time Protection (RTP) sia abilitato.
• Verificare che la protezione fornita dal cloud sia abilitata.
• Il dispositivo deve essere registrato in modo esplicito nell'anteprima.

Panoramica

Il monitoraggio del comportamento monitora il comportamento dei processi per rilevare e analizzare potenziali minacce in base al comportamento delle applicazioni, dei daemon e dei file all'interno del sistema. Poiché il monitoraggio del comportamento osserva il comportamento del software in tempo reale, può adattarsi rapidamente alle minacce nuove ed in continua evoluzione e bloccarle.

Istruzioni per la distribuzione

Per distribuire il monitoraggio del comportamento in Microsoft Defender per endpoint in macOS, è necessario modificare i criteri di monitoraggio del comportamento usando uno dei metodi seguenti:

• Intune
• JamF o altro MDM^di terze parti
• Manualmente

Le sezioni seguenti descrivono in dettaglio ognuno di questi metodi.

Distribuzione di Intune

1. Copiare il codice XML seguente per creare un file con estensione plist e salvarlo come BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Aprire Profilidi configurazionedei dispositivi>.

3. Selezionare Crea profilo e selezionare Nuovo criterio.

4. Assegnare un nome al profilo. Modificare Platform=macOS in Profile type=Templates e scegliere Personalizzato nella sezione nome modello. Selezionare Configura.

5. Passare al file plist salvato in precedenza e salvarlo come com.microsoft.wdav.xml.

6. Immettere com.microsoft.wdav come nome del profilo di configurazione personalizzato.

7. Aprire il profilo di configurazione, caricare il com.microsoft.wdav.xml file e selezionare OK.

8. Selezionare Gestisci>assegnazioni. Nella scheda Includi selezionare Assegna a tutti gli utenti & Tutti i dispositivi o a un gruppo di dispositivi o utenti.

Tramite la distribuzione jamf

1. Copiare il codice XML seguente per creare un file con estensione plist e salvarlo come Salva con nome BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. InProfili di configurazionecomputer> selezionare Opzioni>Applicazioni & Impostazioni personalizzate,

3. Selezionare Carica file (file con estensione plist ).

4. Impostare il dominio delle preferenze su com.microsoft.wdav

5. Caricare il file plist salvato in precedenza.

Per altre informazioni, vedere: Impostare le preferenze per Microsoft Defender per endpoint in macOS.

Distribuzione manuale

È possibile abilitare il monitoraggio del comportamento in Microsoft Defender per endpoint in macOS eseguendo il comando seguente dal terminale:

sudo mdatp config behavior-monitoring --value enabled

Per disabilitare:

sudo mdatp config behavior-monitoring --value disabled

Per altre informazioni, vedere: Risorse per Microsoft Defender per endpoint in macOS.

Per testare il rilevamento del comportamento (prevenzione/blocco)

Vedere Dimostrazione del monitoraggio del comportamento.

Verifica del rilevamento del monitoraggio del comportamento

L'interfaccia della riga di comando esistente di Microsoft Defender per endpoint in macOS può essere usata per esaminare i dettagli e gli artefatti del monitoraggio del comportamento.

sudo mdatp threat list

Domande frequenti

Cosa succede se viene visualizzato un aumento dell'utilizzo della CPU o della memoria?

Disabilitare il monitoraggio del comportamento e verificare se il problema persiste.

• Se il problema non si risolve, non è correlato al monitoraggio del comportamento.
• Se il problema persiste, prendere una aka.ms/xMDEClientAnalyzer e contattare il supporto tecnico Microsoft.