Overvåking av virkemåte i Microsoft Defender Antivirus på macOS
Gjelder for:
- Microsoft Defender for XDR
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for Business
- Microsoft Defender for enkeltpersoner
- Microsoft Defender Antivirus
- Støttede versjoner av macOS
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Forutsetninger
- Enheten er innebygd i Microsoft Defender for endepunkt.
- Forhåndsvisningsfunksjoner er aktivert i Microsoft XDR-portalen (https://security.microsoft.com).
- Enheten må være i Beta-kanalen (tidligere InsiderFast).
- Minimalt microsoft Defender for endepunktversjonsnummer må være Beta (Insiders-Fast): 101.24042.0002 eller nyere. Versjonsnummer refererer til app_version (også kjent som plattformoppdatering).
- Kontroller at Real-Time Protection (RTP) er aktivert.
- Sørg for at skybasert beskyttelse er aktivert.
- Enheten må være eksplisitt registrert i forhåndsvisningen.
Oversikt
Overvåking av virkemåte overvåker prosessatferd for å oppdage og analysere potensielle trusler basert på virkemåten til programmer, daemoner og filer i systemet. Som atferdsovervåking observerer hvordan programvaren oppfører seg i sanntid, kan den tilpasse seg raskt til nye og utviklende trusler og blokkere dem.
Distribusjonsinstruksjoner
Hvis du vil distribuere overvåking av virkemåte i Microsoft Defender for endepunkt på macOS, må du endre policyen for overvåking av virkemåte ved hjelp av én av følgende metoder:
Avsnittene nedenfor beskriver hver av disse metodene i detalj.
Intune-distribusjon
Kopier følgende XML-kode for å opprette en PLIST-fil og lagre den som BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>
Åpne konfigurasjonsprofiler for enheter>.
Velg Opprett profil , og velg Ny policy.
Gi profilen et navn. Endre Plattform=macOS til Profiltype=Maler , og velg Egendefinert i delen med malnavn. Velg Konfigurer.
Gå til plist-filen du lagret tidligere, og lagre den som
com.microsoft.wdav.xml
.Angi
com.microsoft.wdav
som profilnavn for egendefinert konfigurasjon.Åpne konfigurasjonsprofilen, last opp
com.microsoft.wdav.xml
filen, og velg OK.Velg Behandle>oppgaver. Velg Tilordne til alle brukere & Alle enheter eller til en enhetsgruppe eller brukergruppe i kategorien Inkluder.
Via JamF-distribusjon
Kopier følgende XML-kode for å opprette en PLIST-fil og lagre den som Lagre som BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>
Velg Alternativer>programmer & Egendefinerte innstillinger iKonfigurasjonsprofiler for datamaskiner>.
Velg Last opp fil (PLIST-fil ).
Angi innstillingsdomenet til com.microsoft.wdav
Last opp plist-filen som ble lagret tidligere.
Hvis du vil ha mer informasjon, kan du se: Angi innstillinger for Microsoft Defender for endepunkt på macOS.
Manuell distribusjon
Du kan aktivere virkemåteovervåking på Microsoft Defender for endepunkt på macOS ved å kjøre følgende kommando fra terminalen:
sudo mdatp config behavior-monitoring --value enabled
Slik deaktiverer du:
sudo mdatp config behavior-monitoring --value disabled
Hvis du vil ha mer informasjon, kan du se: Ressurser for Microsoft Defender for endepunkt på macOS.
Slik tester du overvåking av virkemåte (forebygging/blokk)
Se demonstrasjon av virkemåteovervåking.
Kontrollerer gjenkjenning av virkemåteovervåking
Det eksisterende Microsoft Defender for Endpoint på macOS-kommandolinjegrensesnittet kan brukes til å se gjennom virkemåteovervåkingsdetaljer og -artefakter.
sudo mdatp threat list
Vanlige spørsmål
Hva om jeg ser en økning i prosessorutnyttelse eller minneutnyttelse?
Deaktiver overvåking av virkemåte og se om problemet forsvinner.
- Hvis problemet ikke forsvinner, er det ikke relatert til overvåking av virkemåte.
- Hvis problemet forsvinner, kan du ta en aka.ms/xMDEClientAnalyzer og kontakte Microsoft Kundestøtte.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for