macOS での Microsoft Defender ウイルス対策の動作監視
適用対象:
- Microsoft Defender for XDR
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Business
- Microsoft Defender for Individuals
- Microsoft Defender ウイルス対策
- サポートされている macOS のバージョン
重要
一部の情報は、事前にリリースされた製品に関連しており、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
前提条件
- デバイスは Microsoft Defender for Endpoint にオンボードされます。
- プレビュー機能 は、Microsoft XDR ポータル (https://security.microsoft.com) で有効になっています。
- デバイスは ベータ チャネル (旧称 InsiderFast) に存在する必要があります。
- Microsoft Defender for Endpoint の最小バージョン番号はベータ版 (Insiders-Fast): 101.24042.0002 以降である必要があります。 バージョン番号は、 app_version ( プラットフォーム更新プログラムとも呼ばれます) を指します。
- Real-Time Protection (RTP) が有効になっていることを確認します。
- クラウド配信の保護が有効になっていることを確認します。
- デバイスをプレビューに明示的に登録する必要があります。
概要
動作監視は、プロセスの動作を監視し、システム内のアプリケーション、デーモン、ファイルの動作に基づいて潜在的な脅威を検出および分析します。 動作監視では、ソフトウェアの動作がリアルタイムで観察されるため、新しく進化する脅威に迅速に適応してブロックできます。
デプロイ手順
macOS 上の Microsoft Defender for Endpoint で動作監視を展開するには、次のいずれかの方法を使用して動作監視ポリシーを変更する必要があります。
以降のセクションでは、これらの各メソッドについて詳しく説明します。
Intune の展開
次の XML をコピーして .plist ファイルを作成し、BehaviorMonitoring_for_MDE_on_macOS.mobileconfig として保存します
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>[デバイス>構成プロファイル] を開きます。
[ プロファイルの作成 ] を選択し、[ 新しいポリシー] を選択します。
プロファイルに名前を付けます。 [Platform=macOS] を [プロファイルの種類] =[テンプレート] に変更し、[テンプレート名] セクションで [カスタム] を選択します。 [構成] を選択します。
前に保存した plist ファイルに移動し、 として
com.microsoft.wdav.xml保存します。カスタム構成プロファイル名として「」と入力
com.microsoft.wdavします。構成プロファイルを開き、ファイルを
com.microsoft.wdav.xmlアップロードし、[ OK] を選択します。[割り当ての管理>] を選択します。 [含める] タブで、[すべてのユーザーに割り当てる] & [すべてのデバイス] または [デバイス グループ] または [ユーザー グループ] を選択します。
JamF デプロイを使用する
次の XML をコピーして .plist ファイルを作成し、 BehaviorMonitoring_for_MDE_on_macOS.plist として保存します
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>[ コンピューターの>構成プロファイル] で、[ オプション>アプリケーション] & [カスタム設定] を選択します。
[ ファイルのアップロード (.plist ファイル)] を選択します。
優先ドメインを com.microsoft.wdav に設定する
前に保存した plist ファイルをアップロードします。
詳細については、「 macOS で Microsoft Defender for Endpoint の基本設定を設定する」を参照してください。
手動展開
MacOS 上の Microsoft Defender for Endpoint で動作監視を有効にするには、ターミナルから次のコマンドを実行します。
sudo mdatp config behavior-monitoring --value enabled
無効にするには:
sudo mdatp config behavior-monitoring --value disabled
詳細については、「 macOS 上の Microsoft Defender for Endpoint のリソース」を参照してください。
動作監視 (防止/ブロック) の検出をテストするには
「 動作監視のデモ」を参照してください。
動作監視の検出の検証
macOS の既存の Microsoft Defender for Endpoint コマンド ライン インターフェイスを使用して、動作監視の詳細と成果物を確認できます。
sudo mdatp threat list
よく寄せられる質問 (FAQ)
CPU 使用率またはメモリ使用率が増加した場合はどうすればよいですか?
動作監視を無効にして、問題が解決するかどうかを確認します。
- 問題が解決しない場合は、動作監視とは関係ありません。
- 問題が解決した場合は、aka.ms/xMDEClientAnalyzer を受け取り、Microsoft サポートにお問い合わせください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示