Monitorowanie zachowania w programie antywirusowym Microsoft Defender w systemie macOS
Dotyczy:
- Microsoft Defender for XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Microsoft Defender dla Firm
- Usługa Microsoft Defender dla użytkowników indywidualnych
- Program antywirusowy Microsoft Defender
- Obsługiwane wersje systemu macOS
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Wymagania wstępne
- Urządzenie jest dołączane do usługi Microsoft Defender for Endpoint.
- Funkcje w wersji zapoznawczej są włączone w portalu Microsoft XDR (https://security.microsoft.com).
- Urządzenie musi znajdować się w kanale beta (dawniej InsiderFast).
- Minimalny numer wersji usługi Microsoft Defender dla punktu końcowego musi być beta (Insiders-Fast): 101.24042.0002 lub nowszy. Numer wersji odnosi się do app_version (znanego również jako aktualizacja platformy).
- Upewnij się, że funkcja Real-Time Protection (RTP) jest włączona.
- Upewnij się, że ochrona dostarczana przez chmurę jest włączona .
- Urządzenie musi być jawnie zarejestrowane w wersji zapoznawczej.
Omówienie
Monitorowanie zachowania monitoruje zachowanie procesu w celu wykrywania i analizowania potencjalnych zagrożeń na podstawie zachowania aplikacji, demonów i plików w systemie. Ponieważ monitorowanie zachowania obserwuje zachowanie oprogramowania w czasie rzeczywistym, może szybko dostosowywać się do nowych i zmieniających się zagrożeń oraz blokować je.
Instrukcje dotyczące wdrażania
Aby wdrożyć monitorowanie zachowania w usłudze Microsoft Defender for Endpoint w systemie macOS, należy zmienić zasady monitorowania zachowania przy użyciu jednej z następujących metod:
W poniższych sekcjach opisano szczegółowo każdą z tych metod.
Wdrażanie usługi Intune
Skopiuj następujący kod XML, aby utworzyć plik plist i zapisać go jako BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>
Otwórzprofile konfiguracjiurządzeń>.
Wybierz pozycję Utwórz profil i wybierz pozycję Nowe zasady.
Nadaj profilowi nazwę. Zmień wartość Platform=macOS na Typ profilu=Szablony i wybierz pozycję Niestandardowe w sekcji nazwa szablonu. Wybierz pozycję Konfiguruj.
Przejdź do zapisanego wcześniej pliku plist i zapisz go jako
com.microsoft.wdav.xml
.Wprowadź
com.microsoft.wdav
jako niestandardową nazwę profilu konfiguracji.Otwórz profil konfiguracji i przekaż
com.microsoft.wdav.xml
plik, a następnie wybierz przycisk OK.Wybierz pozycję Zarządzaj>przydziałami. Na karcie Dołączanie wybierz pozycję Przypisz do wszystkich użytkowników & wszystkie urządzenia lub grupę urządzeń lub grupę użytkowników.
Za pośrednictwem wdrożenia narzędzia JamF
Skopiuj następujący kod XML, aby utworzyć plik plist i zapisać go jako zapisz jako BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>
Wobszarze Profile konfiguracjikomputerów> wybierz pozycję Opcje Aplikacje>& ustawienia niestandardowe,
Wybierz pozycję Przekaż plik (plik plist ).
Ustaw domenę preferencji na com.microsoft.wdav
Przekaż zapisany wcześniej plik plist.
Aby uzyskać więcej informacji, zobacz Ustawianie preferencji dla usługi Microsoft Defender dla punktu końcowego w systemie macOS.
Wdrażanie ręczne
Monitorowanie zachowania w usłudze Microsoft Defender for Endpoint w systemie macOS można włączyć, uruchamiając następujące polecenie z poziomu terminalu:
sudo mdatp config behavior-monitoring --value enabled
Aby wyłączyć:
sudo mdatp config behavior-monitoring --value disabled
Aby uzyskać więcej informacji, zobacz Zasoby dla usługi Microsoft Defender dla punktu końcowego w systemie macOS.
Aby przetestować monitorowanie zachowania (zapobieganie/blokowanie) wykrywania
Zobacz Pokaz monitorowania zachowania.
Weryfikowanie wykrywania monitorowania zachowania
Istniejący interfejs wiersza polecenia usługi Microsoft Defender for Endpoint w systemie macOS może służyć do przeglądania szczegółów monitorowania zachowania i artefaktów.
sudo mdatp threat list
Często zadawane pytania
Co zrobić, jeśli widzę wzrost wykorzystania procesora CPU lub wykorzystania pamięci?
Wyłącz monitorowanie zachowania i sprawdź, czy problem ulegnie awarii.
- Jeśli problem nie zniknie, nie jest związany z monitorowaniem zachowania.
- Jeśli problem ulegnie awarii, skorzystaj z aka.ms/xMDEClientAnalyzer i skontaktuj się z pomocą techniczną firmy Microsoft.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla