Monitorowanie zachowania w programie antywirusowym Microsoft Defender w systemie macOS

Dotyczy:

• Microsoft Defender for XDR
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Microsoft Defender dla Firm
• Usługa Microsoft Defender dla użytkowników indywidualnych
• Program antywirusowy Microsoft Defender
• Obsługiwane wersje systemu macOS

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Wymagania wstępne

• Urządzenie jest dołączane do usługi Microsoft Defender for Endpoint.
• Funkcje w wersji zapoznawczej są włączone w portalu Microsoft XDR (https://security.microsoft.com).
• Urządzenie musi znajdować się w kanale beta (dawniej InsiderFast).
• Minimalny numer wersji usługi Microsoft Defender dla punktu końcowego musi być beta (Insiders-Fast): 101.24042.0002 lub nowszy. Numer wersji odnosi się do app_version (znanego również jako aktualizacja platformy).
• Upewnij się, że funkcja Real-Time Protection (RTP) jest włączona.
• Upewnij się, że ochrona dostarczana przez chmurę jest włączona .
• Urządzenie musi być jawnie zarejestrowane w wersji zapoznawczej.

Omówienie

Monitorowanie zachowania monitoruje zachowanie procesu w celu wykrywania i analizowania potencjalnych zagrożeń na podstawie zachowania aplikacji, demonów i plików w systemie. Ponieważ monitorowanie zachowania obserwuje zachowanie oprogramowania w czasie rzeczywistym, może szybko dostosowywać się do nowych i zmieniających się zagrożeń oraz blokować je.

Instrukcje dotyczące wdrażania

Aby wdrożyć monitorowanie zachowania w usłudze Microsoft Defender for Endpoint w systemie macOS, należy zmienić zasady monitorowania zachowania przy użyciu jednej z następujących metod:

• Intune
• JamF lub inne 3^rd party MDM
• Ręcznie

W poniższych sekcjach opisano szczegółowo każdą z tych metod.

Wdrażanie usługi Intune

1. Skopiuj następujący kod XML, aby utworzyć plik plist i zapisać go jako BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Otwórzprofile konfiguracjiurządzeń>.

3. Wybierz pozycję Utwórz profil i wybierz pozycję Nowe zasady.

4. Nadaj profilowi nazwę. Zmień wartość Platform=macOS na Typ profilu=Szablony i wybierz pozycję Niestandardowe w sekcji nazwa szablonu. Wybierz pozycję Konfiguruj.

5. Przejdź do zapisanego wcześniej pliku plist i zapisz go jako com.microsoft.wdav.xml.

6. Wprowadź com.microsoft.wdav jako niestandardową nazwę profilu konfiguracji.

7. Otwórz profil konfiguracji i przekaż com.microsoft.wdav.xml plik, a następnie wybierz przycisk OK.

8. Wybierz pozycję Zarządzaj>przydziałami. Na karcie Dołączanie wybierz pozycję Przypisz do wszystkich użytkowników & wszystkie urządzenia lub grupę urządzeń lub grupę użytkowników.

Za pośrednictwem wdrożenia narzędzia JamF

1. Skopiuj następujący kod XML, aby utworzyć plik plist i zapisać go jako zapisz jako BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. Wobszarze Profile konfiguracjikomputerów> wybierz pozycję Opcje Aplikacje>& ustawienia niestandardowe,

3. Wybierz pozycję Przekaż plik (plik plist ).

4. Ustaw domenę preferencji na com.microsoft.wdav

5. Przekaż zapisany wcześniej plik plist.

Aby uzyskać więcej informacji, zobacz Ustawianie preferencji dla usługi Microsoft Defender dla punktu końcowego w systemie macOS.

Wdrażanie ręczne

Monitorowanie zachowania w usłudze Microsoft Defender for Endpoint w systemie macOS można włączyć, uruchamiając następujące polecenie z poziomu terminalu:

sudo mdatp config behavior-monitoring --value enabled

Aby wyłączyć:

sudo mdatp config behavior-monitoring --value disabled

Aby uzyskać więcej informacji, zobacz Zasoby dla usługi Microsoft Defender dla punktu końcowego w systemie macOS.

Aby przetestować monitorowanie zachowania (zapobieganie/blokowanie) wykrywania

Zobacz Pokaz monitorowania zachowania.

Weryfikowanie wykrywania monitorowania zachowania

Istniejący interfejs wiersza polecenia usługi Microsoft Defender for Endpoint w systemie macOS może służyć do przeglądania szczegółów monitorowania zachowania i artefaktów.

sudo mdatp threat list

Często zadawane pytania

Co zrobić, jeśli widzę wzrost wykorzystania procesora CPU lub wykorzystania pamięci?

Wyłącz monitorowanie zachowania i sprawdź, czy problem ulegnie awarii.

• Jeśli problem nie zniknie, nie jest związany z monitorowaniem zachowania.
• Jeśli problem ulegnie awarii, skorzystaj z aka.ms/xMDEClientAnalyzer i skontaktuj się z pomocą techniczną firmy Microsoft.