Del via

Overvåking av virkemåte i Microsoft Defender Antivirus på macOS

  • Artikkel

Gjelder for:

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Forutsetninger

  • Enheten er innebygd i Microsoft Defender for endepunkt.
  • Forhåndsvisningsfunksjoner er aktivert i Microsoft XDR-portalen (https://security.microsoft.com).
  • Enheten må være i Beta-kanalen (tidligere InsiderFast).
  • Minimalt microsoft Defender for endepunktversjonsnummer må være Beta (Insiders-Fast): 101.24042.0002 eller nyere. Versjonsnummer refererer til app_version (også kjent som plattformoppdatering).
  • Kontroller at Real-Time Protection (RTP) er aktivert.
  • Sørg for at skybasert beskyttelse er aktivert.
  • Enheten må være eksplisitt registrert i forhåndsvisningen.

Oversikt

Overvåking av virkemåte overvåker prosessatferd for å oppdage og analysere potensielle trusler basert på virkemåten til programmer, daemoner og filer i systemet. Som atferdsovervåking observerer hvordan programvaren oppfører seg i sanntid, kan den tilpasse seg raskt til nye og utviklende trusler og blokkere dem.

Distribusjonsinstruksjoner

Hvis du vil distribuere overvåking av virkemåte i Microsoft Defender for endepunkt på macOS, må du endre policyen for overvåking av virkemåte ved hjelp av én av følgende metoder:

Avsnittene nedenfor beskriver hver av disse metodene i detalj.

Intune-distribusjon

  1. Kopier følgende XML-kode for å opprette en PLIST-fil og lagre den som BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
                <key>features</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                <key>behaviorMonitoringConfigurations</key>
                <dict>
                <key>blockExecution</key>
                <string>enabled</string>
                <key>notifyForks</key>
                <string>enabled</string>
                <key>forwardRtpToBm</key>
                <string>enabled</string>
                <key>avoidOpenCache</key>
                <string>enabled</string>
                                 </dict>
                    </dict>
            </dict>
        </array>
    </dict>
</plist>

  2. Åpne konfigurasjonsprofiler for enheter>.

  3. Velg Opprett profil , og velg Ny policy.

  4. Gi profilen et navn. Endre Plattform=macOS til Profiltype=Maler , og velg Egendefinert i delen med malnavn. Velg Konfigurer.

  5. Gå til plist-filen du lagret tidligere, og lagre den som com.microsoft.wdav.xml.

  6. Angi com.microsoft.wdav som profilnavn for egendefinert konfigurasjon.

  7. Åpne konfigurasjonsprofilen, last opp com.microsoft.wdav.xml filen, og velg OK.

  8. Velg Behandle>oppgaver. Velg Tilordne til alle brukere & Alle enheter eller til en enhetsgruppe eller brukergruppe i kategorien Inkluder.

Via JamF-distribusjon

  1. Kopier følgende XML-kode for å opprette en PLIST-fil og lagre den som Lagre som BehaviorMonitoring_for_MDE_on_macOS.plist

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
                <key>features</key>
                     <dict>
                         <key>behaviorMonitoring</key>
                         <string>enabled</string>
                         <key>behaviorMonitoringConfigurations</key>
                             <dict>
                                 <key>blockExecution</key>
                                 <string>enabled</string>
                                 <key>notifyForks</key>
                                 <string>enabled</string>
                                 <key>forwardRtpToBm</key>
                                 <string>enabled</string>
                                 <key>avoidOpenCache</key>
                                 <string>enabled</string>
                             </dict>
                     </dict>
    </dict>
</plist>

  2. Velg Alternativer>programmer & Egendefinerte innstillinger iKonfigurasjonsprofiler for datamaskiner>.

  3. Velg Last opp fil (PLIST-fil ).

  4. Angi innstillingsdomenet til com.microsoft.wdav

  5. Last opp plist-filen som ble lagret tidligere.

Hvis du vil ha mer informasjon, kan du se: Angi innstillinger for Microsoft Defender for endepunkt på macOS.

Manuell distribusjon

Du kan aktivere virkemåteovervåking på Microsoft Defender for endepunkt på macOS ved å kjøre følgende kommando fra terminalen:

sudo mdatp config behavior-monitoring --value enabled

Slik deaktiverer du:

sudo mdatp config behavior-monitoring --value disabled

Hvis du vil ha mer informasjon, kan du se: Ressurser for Microsoft Defender for endepunkt på macOS.

Slik tester du overvåking av virkemåte (forebygging/blokk)

Se demonstrasjon av virkemåteovervåking.

Kontrollerer gjenkjenning av virkemåteovervåking

Det eksisterende Microsoft Defender for Endpoint på macOS-kommandolinjegrensesnittet kan brukes til å se gjennom virkemåteovervåkingsdetaljer og -artefakter.

sudo mdatp threat list

Vanlige spørsmål

Hva om jeg ser en økning i prosessorutnyttelse eller minneutnyttelse?

Deaktiver overvåking av virkemåte og se om problemet forsvinner.

  • Hvis problemet ikke forsvinner, er det ikke relatert til overvåking av virkemåte.
  • Hvis problemet forsvinner, kan du ta en aka.ms/xMDEClientAnalyzer og kontakte Microsoft Kundestøtte.