Delen via

Gedragscontrole in Microsoft Defender Antivirus in macOS

  • Artikel

Van toepassing op:

Belangrijk

Sommige informatie heeft betrekking op vooraf uitgebrachte producten die aanzienlijk kunnen worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Vereisten

  • Het apparaat wordt toegevoegd aan Microsoft Defender voor Eindpunt.
  • Preview-functies zijn ingeschakeld in de Microsoft XDR-portal (https://security.microsoft.com).
  • Het apparaat moet zich in het bètakanaal bevinden (voorheen InsiderFast).
  • Minimaal versienummer van Microsoft Defender voor Eindpunt moet Bèta (Insiders-Fast): 101.24042.0002 of hoger zijn. Versienummer verwijst naar de app_version (ook wel platformupdate genoemd).
  • Zorg ervoor dat Real-Time Protection (RTP) is ingeschakeld.
  • Zorg ervoor dat cloudbeveiliging is ingeschakeld.
  • Het apparaat moet expliciet worden ingeschreven in de preview- versie.

Overzicht

Gedragscontrole bewaakt het procesgedrag om potentiële bedreigingen te detecteren en te analyseren op basis van het gedrag van de toepassingen, daemons en bestanden in het systeem. Als gedragscontrole observeert hoe de software zich in realtime gedraagt, kan deze zich snel aanpassen aan nieuwe en zich ontwikkelende bedreigingen en deze blokkeren.

Implementatie-instructies

Als u gedragscontrole wilt implementeren in Microsoft Defender voor Eindpunt in macOS, moet u het beleid voor gedragscontrole wijzigen met behulp van een van de volgende methoden:

In de volgende secties worden deze methoden in detail beschreven.

Intune-implementatie

  1. Kopieer de volgende XML om een .plist-bestand te maken en sla het op als BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
                <key>features</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                <key>behaviorMonitoringConfigurations</key>
                <dict>
                <key>blockExecution</key>
                <string>enabled</string>
                <key>notifyForks</key>
                <string>enabled</string>
                <key>forwardRtpToBm</key>
                <string>enabled</string>
                <key>avoidOpenCache</key>
                <string>enabled</string>
                                 </dict>
                    </dict>
            </dict>
        </array>
    </dict>
</plist>

  2. Open Configuratieprofielen voor apparaten>.

  3. Selecteer Profiel maken en selecteer Nieuw beleid.

  4. Geef het profiel een naam. Wijzig Platform=macOS in Profieltype=Sjablonen en kies Aangepast in de sectie sjabloonnaam. Selecteer Configureren.

  5. Ga naar het plist-bestand dat u eerder hebt opgeslagen en sla het op als com.microsoft.wdav.xml.

  6. Voer in com.microsoft.wdav als de naam van het aangepaste configuratieprofiel.

  7. Open het configuratieprofiel, upload het com.microsoft.wdav.xml bestand en selecteer OK.

  8. Selecteer Toewijzingen beheren>. Selecteer op het tabblad Opnemende optie Toewijzen aan Alle gebruikers & Alle apparaten of aan een apparaatgroep of gebruikersgroep.

Via JamF-implementatie

  1. Kopieer de volgende XML om een .plist-bestand te maken en sla het op als Opslaan als BehaviorMonitoring_for_MDE_on_macOS.plist

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
                <key>features</key>
                     <dict>
                         <key>behaviorMonitoring</key>
                         <string>enabled</string>
                         <key>behaviorMonitoringConfigurations</key>
                             <dict>
                                 <key>blockExecution</key>
                                 <string>enabled</string>
                                 <key>notifyForks</key>
                                 <string>enabled</string>
                                 <key>forwardRtpToBm</key>
                                 <string>enabled</string>
                                 <key>avoidOpenCache</key>
                                 <string>enabled</string>
                             </dict>
                     </dict>
    </dict>
</plist>

  2. Selecteer inConfiguratieprofielen voor computers>opties>Toepassingen & Aangepaste instellingen,

  3. Selecteer Bestand uploaden (.plist-bestand ).

  4. Voorkeursdomein instellen op com.microsoft.wdav

  5. Upload het plist-bestand dat u eerder hebt opgeslagen.

Zie Voorkeuren instellen voor Microsoft Defender voor Eindpunt in macOS voor meer informatie.

Handmatige implementatie

U kunt Gedragscontrole inschakelen in Microsoft Defender voor Eindpunt in macOS door de volgende opdracht uit te voeren vanuit de terminal:

sudo mdatp config behavior-monitoring --value enabled

Ga als volgende te werk om het volgende uit te schakelen

sudo mdatp config behavior-monitoring --value disabled

Zie resources voor Microsoft Defender voor Eindpunt in macOS voor meer informatie.

Detectie van gedragscontrole (preventie/blokkeren) testen

Zie Gedragscontroledemonstratie.

Detectie van gedragscontrole controleren

De bestaande opdrachtregelinterface van Microsoft Defender voor Eindpunt op macOS kan worden gebruikt om details en artefacten van gedragscontrole te bekijken.

sudo mdatp threat list

Veelgestelde vragen (FAQ)

Wat gebeurt er als ik een toename in cpu- of geheugengebruik zie?

Schakel Gedragscontrole uit en kijk of het probleem verdwijnt.

  • Als het probleem niet verdwijnt, is het niet gerelateerd aan Gedragscontrole.
  • Als het probleem verdwijnt, neemt u een aka.ms/xMDEClientAnalyzer en neemt u contact op met Microsoft-ondersteuning.